Vue Options d'exploration

Définissez la méthode d'exploration (basée sur les actions, basée sur les demandes, ou les deux) qu'AppScan utilisera pour explorer l'application, ainsi que d'autres paramètres d'exploration de base et avancés.

Méthode d'exploration
AppScan utilise deux méthodes distinctes pour l'étape d'exploration de l'analyse. Vous pouvez sélectionner l'une des deux, ou les deux. Des deux méthodes disponibles, l'exploration basée sur les demandes est généralement plus rapide que l'exploration basée sur les actions. Lorsque ces deux méthodes sont sélectionnées (il s'agit de la sélection par défaut et recommandé), l'exploration basée sur les actions s'exécute en premier avec un délai maximal de 30 minutes, suivie de l'exploration basée sur les demandes.
Filtrage en fonction de la structure de page (DOM)
Cette option permet de réduire considérablement la durée de l'examen en identifiant les pages qui présentent un niveau de similarité suffisant avec les pages déjà explorées, ce qui permet à AppScan de les ignorer en toute sécurité.
Limites de l'examen
Cette option permet de déterminer la profondeur (ou la vitesse) à laquelle AppScan explore votre application.
Paramètres avancés
  • Paramètres d'exploration supplémentaires : Cette option permet de configurer le client pour reconnaître un codage de serveur spécifique et envoyer un en-tête d'agent d'utilisateur spécifique.
  • Basée sur les actions : Paramètres propres à cette méthode.
  • Basée sur les demandes : Paramètres propres à cette méthode.

Paramètre

Détails

Méthode d'exploration

Basée sur les actions

Une version du navigateur Google Chrome est utilisée pour examiner le site comme le ferait un utilisateur en cliquant sur les liens visibles dans le navigateur. Cette méthode est particulièrement efficace lorsque des technologies, comme JavaScript et le stockage de session, et des sites de type RIA, SPA (Single-Page Application) ou AngularJS sont utilisés.

Basée sur les demandes

Les demandes sont envoyées en fonction de l'ensemble du contenu des pages reconnu par AppScan. Cette procédure inclut le contenu qui n'est pas visible pour les utilisateurs d'un navigateur mais qu'un pirate pourrait détecter, comme des liens dans des commentaires.

Filtrage en fonction de la structure de page

Filtrer les pages identiques en fonction de leur structure (DOM)

AppScan® compare les nouvelles pages aux pages déjà explorées à la recherche d'une similitude structurelle (DOM) pour indiquer qu'elles ne contiennent pas de nouveaux liens ou de nouveaux contenus nécessitant des tests supplémentaires. Par exemple, sur un site commercial, il peut y avoir un catalogue composé de différentes pages individuelles pour un millier de produits différents, identiques dans tous les autres aspects. Il est généralement inutile d'examiner toutes ces pages. Le filtrage basé sur la similitude DOM peut réduire considérablement la durée de l'examen.

Par défaut, les deux options sont sélectionnées. Après l'examen, vous devez contrôler l'onglet Filtré des résultats de l'examen afin de vérifier si certaines demandes n'ont pas été exclues de l'examen par erreur. Si c'est le cas, essayez d'utiliser l'option "Filtrer moins de pages", qui maintient un niveau inférieur constant de filtrage, ou désactivez en même temps l'option Filtrage en fonction de la structure de page (DOM).

L'onglet Filtré des résultats contient trois types d'éléments filtrés :
  • DOM identique : Cela signale une page qui a été éliminée de l'examen parce que sa structure (DOM) est similaire à celle d'une page déjà explorée, et qu'elle ne contient probablement pas de nouveaux éléments à tester.
  • DOM probablement identique : Une requête n'a pas été envoyée car AppScan estime que la réponse présente une structure (DOM) identique à celle d'une page déjà explorée et qu'elle ne contient probablement aucun élément à tester.
  • Corps similaire : Demande (provenant d'une page qui n'a pas été filtrée en raison d'un élément DOM similaire) exclue de l'examen car le contenu du corps de la réponse est identique à celui d'une demande précédemment explorée.
Après l'examen, vous devez contrôler l'onglet Filtré des résultats de l'examen afin de vérifier si certaines demandes n'ont pas été exclues de l'examen par erreur. Si tel est le cas, vous devez décocher l'option de filtrage des pages probablement en double (option suivante) ou désactiver en même temps l'option Filtrage en fonction de la structure de page DOM.

Filtrer les pages susceptibles d'être identiques en fonction de leur structure (DOM)

Ce paramètre filtre les pages avec un "DOM probablement identique" lors de l'examen (voir description ci-dessus). Si des demandes uniques sont filtrées par erreur en dehors de l'examen, vous devez désactiver cette option.

Limites de l'examen

Limite pour les chemins d'accès redondants

AppScan® n'accède pas au même chemin plus que le nombre de fois indiqué.

Un chemin particulier peut être visité plusieurs fois s'il apparaît avec différents paramètres. Cette limite est principalement utile pour les scripts. Cette option est désélectionnée par défaut, car dans la plupart des cas, la sélection de la case à cocher ci-dessus, Filtrage en fonction de la structure de page (DOM), permet de contrôler la durée de l'examen de façon satisfaisante.

Limite de profondeur de clic

AppScan® n'examine pas les pages qui sont accessibles en cliquant sur un nombre de liens supérieur à la valeur indiquée.

Limite du total de pages

Si cette option est sélectionnée, AppScan® n'accède pas à plus de pages que ce nombre maximal défini. Remarquez que chaque page peut contenir de nombreuses URL.

Options avancées

Cette section comprend trois parties :
  • Paramètres d'exploration supplémentaires
  • Basée sur les actions : paramètres qui affectent uniquement l'exploration basée sur les actions
  • Basée sur les demandes : paramètres qui affectent uniquement l'exploration basée sur les demandes

Paramètres d'exploration supplémentaires

Ces paramètres avancés s'appliquent à la fois à l'exploration basée sur les actions et sur les demandes.

Paramètre

Détails

Codage

En général, AppScan® détecte automatiquement la méthode de codage de l'application ; par conséquent, la fonction de détection automatique est sélectionnée par défaut.

Si le contenu des réponses figurant dans les résultats de l'examen semble erroné, cela peut signifier que la méthode de codage n'a pas été correctement identifiée. Pour résoudre ce problème, sélectionnez la méthode de codage appropriée dans la liste déroulante.

Agent d'utilisateur

L'en-tête agent d'utilisateur dans une requête HTTP indique au serveur quel type de client envoie la requête, ce qui peut affecter le contenu renvoyé par le serveur. Par exemple, certains contenus spécifiques aux téléphones mobiles ne sont envoyés que lorsque l'agent d'utilisateur est un navigateur de téléphone mobile. Pour qu'AppScan® puisse tester ce type de contenu, vous devez le configurer pour qu'il envoie l'en-tête agent d'utilisateur approprié.

En général, AppScan® détecte automatiquement l'agent d'utilisateur ; par conséquent, la fonction de détection automatique est sélectionnée par défaut. Cependant, si vous utilisez un navigateur différent du navigateur intégré, et si vous n'enregistrez pas de procédure de connexion, d'opération en plusieurs étapes ou d'exploration manuelle, AppScan® ne peut pas détecter l'agent d'utilisateur automatiquement, et vous devez le sélectionner manuellement.

Pour modifier l'agent d'utilisateur, sélectionnez un agent dans la liste déroulante.

Pour entrer du contenu personnalisé, cliquez sur le bouton Editer et saisissez le contenu. A la fermeture de la boîte de dialogue, le nom du bouton devient Agent d'utilisateur personnalisé.

Remarque : si vous modifiez le navigateur par défaut, consultez les conditions décrites à la rubrique Modification du navigateur par défaut.

Basée sur les actions

Cette section n'est active que si la case Basée sur les actions est cochée en haut de cette boîte de dialogue.
Paramètre Détails
Dépassement du délai d'exploration (minutes) La limite de temps par défaut pour l'exploration basée sur les actions d'un site est de 30 minutes. Après ce délai, l'étape d'exploration s'arrête même si le site n'a pas été entièrement couvert.

Si AppScan omet des parties importantes du site pendant cette période, vous pouvez augmenter ce délai.

Attente minimum avant l'appel d'actions sur une page (millisecondes) AppScan tente d'identifier qu'une page a chargé complètement avant de commencer à l'explorer.
Si vous ajoutez une période d'attente minimale ici, AppScan utilise toujours ce paramètre comme période d'attente minimale (même s'il détecte que page a chargé), mais attendra plus longtemps que cette période s'il détecte que la page n'a pas chargé.
Conseil : Si, lorsque vous vérifiez les Données d'exploration, vous voyez qu'AppScan n'a pas réussi à exécuter toutes les actions possibles sur une page, cela peut indiquer que son temps d'attente dynamique était trop court. Vous pouvez également le voir pendant l'analyse si vous autorisez le navigateur :
  1. Allez dans Outils > Options > Avancé
  2. Repérez SessionManagement:ShowActionBasedPlayerWindow, et définissez son paramètre sur True.
  3. Effectuez une analyse. Le navigateur s'ouvre pendant l'analyse, et vous pouvez regarder pendant que AppScan explore votre site. Si vous remarquez qu'il passe à une nouvelle page avant que la page actuelle soit complètement chargée, l'augmentation du temps d'attente peut résoudre le problème.
Remarque : La modification de ce paramètre peut avoir un impact sur le Temps d'exploration. Il sera alors peut-être pertinent d'augmenter le Dépassement du délai d'exploration (ci-dessus).
Pages dynamiques
Détection automatique du chargement de page dynamique Par défaut, AppScan détecte activement le contenu de page dynamique et traite la page comme telle. Dans de rares occasions, cela peut empêcher la page de charger correctement et, par conséquent, avoir un impact sur la couverture de l'analyse.
Conseil : Pour identifier ce problème :
  1. Allez dans Outils > Options > Avancé
  2. Repérez SessionManagement:ShowActionBasedPlayerWindow, et définissez son paramètre sur True.
  3. Effectuez une analyse. Le navigateur s'ouvre pendant l'analyse, et vous pouvez regarder pendant que AppScan explore votre site. Si vous remarquez que des pages qui chargent correctement dans un navigateur classique ne chargent pas correctement pendant l'analyse, décochez cette case pour éventuellement résoudre le problème.
Filtres
Ignorer des actions sur des éléments DOM identiques AppScan identifie les actions qu'il a déjà exécutées sur une page précédente en fonction de divers critères. Si votre site comprend différentes actions qui peuvent sembler identiques en raison de leur élément DOM, AppScan peut les ignorer de manière erronée. Si cela se produit, décochez cette case.
Remarque : AppScan effectue plusieurs fois des actions identiques, pour vérifier qu'elles sont bien identiques, avant de décider d'ignorer de futures itérations.
Utiliser l'apprentissage machine pour analyser et ignorer des actions redondantes AppScan utilise l'apprentissage machine pour améliorer l'efficacité de la Phase d'exploration. AppScan peut prédire des actions qui sont susceptibles de renvoyer vers des parties du site déjà découvertes, afin de les ignorer.

Si votre site comprend plusieurs pages dont la seule différence est leur contenu, cette fonction peut considérablement élargir la couverture du site pendant le délai d'exploration défini. Le gain précis dépendra du site.

Actions à ignorer Il s'agit d'une liste d'actions qu'AppScan va ignorer puisqu'elles peuvent avoir un impact négatif sur l'analyse, ou même sur l'application. Les actions à ignorer sont identifiées en fonction des attributs Id, name ou ng-model de l'élément DOM pour l'action. Toute action dont les attributs Id, name ou ng-model de l'élément DOM contiennent un des mots de la liste sera éliminée de l'analyse.

Vous pouvez Ajouter, Editer et Supprimer des éléments dans cette liste.

Basée sur les demandes

Cette section est active uniquement si la case Basée sur les demandes est cochée en haut de cette boîte de dialogue.
  • Les options JavaScript déterminent si AppScan doit ignorer ou examiner ces scripts.
  • L'option Mode d'exploration détermine si AppScan® explore tous les liens d'une page avant de passer à la page suivante ou s'il explore chaque nouveau lien au fur et à mesure qu'il est détecté.
  • L'option WebSphere Portal permet de configurer le client pour reconnaître un codage de serveur spécifique et envoyer un en-tête d'agent utilisateur.
Paramètre Détails
JavaScript
Faire une analyse syntaxique du code JavaScript pour reconnaître les adresses URL AppScan® fait une analyse syntaxique des codes JavaScript en tant que données de texte pour collecter des liens.
Mode d'exploration
Largeur en premier (Par défaut) AppScan® effectue l'exploration page par page en explorant tous les liens d'une page avant de passer à la page suivante.

Il est recommandé de ne pas modifier la sélection par défaut de cette option (Largeur en premier), sauf si vous avez connaissance de limitations dans votre application qui nécessitent de visiter les liens dans un ordre spécifique.

Profondeur en premier AppScan® effectue l'exploration lien par lien en explorant chaque nouveau lien au fur et à mesure qu'il est détecté.

Si vous modifiez la méthode d'exploration en indiquant Profondeur en premier, vous devez également modifier AppScan® pour qu'il n'utilise qu'une seule unité d'exécution lors de l'exploration (dans Configuration > Vue Communication et proxy).

WebSphere® Portail

Analyse de portail Enable WebSphere®

Dans le cas d'un site WebSphere® Portal, AppScan® doit recevoir les informations de décodage d'adresse URL en provenance du site afin d'optimiser l'examen et de construire une arborescence d'application utile. Pour activer le décodage, sélectionnez Activer l'examen WebSphere Portal.

Si l'adresse URL de la racine de contexte ne suit pas le format par défaut, cliquez sur Ajouter l'adresse URL de la racine de contexte pour ajouter une ou plusieurs adresses URL de racine de contexte.
Conseil : Si vous n'êtes pas sûr de connaître l'adresse URL de racine de contexte de votre portail :
  1. Sur l'ordinateur sur lequel WebSphere Portal est installé, ouvrez le fichier wkplc.properties dans le répertoire wp_profile_root/ConfigEngine/properties.
  2. La valeur de la racine de contexte est indiquée dans la propriété WpsContextRoot.
Conseil : Lors de l'examen d'un site WebSphere® Portal, il est recommandé d'utiliser le modèle d'examen WebSphere® Portal prédéfini qui est configuré à cette fin.