Mot de passe à usage unique (OTP)

Configurez AppScan® pour utiliser OTP (une sorte d'authentification multifacteur ou MFA) lors de la connexion.

Si votre application utilise un mot de passe à usage unique, sélectionnez l'une des deux options. Sinon, laissez le paramètre par défaut : Aucun.

Lorsque vous enregistrez la procédure de connexion, AppScan extrait les paramètres appropriés du trafic et les ajoute à la liste des paramètres HTTP du mot de passe à usage unique. Ils seront également ajoutés à l'entrée de mot de passe à usage unique dans la vue Remplissage automatique de formulaires. Si AppScan ne parvient pas à identifier les paramètres, vous devez les ajouter vous-même, dans cette vue ou dans la vue Remplissage automatique de formulaires.
Limitations :
  • Un seul type de mot de passe à usage unique (mot de passe à usage unique et à durée limitée ou mot de passe à usage unique généré par URL) est pris en charge par examen.
  • Pour les mots de passe à usage unique et à durée limitée, seules les valeurs numériques sont prises en charge.
  • Le mot de passe à usage unique n'est pris en charge que lorsque le navigateur Chromium est utilisé pour enregistrer la connexion. Il n'est pas pris en charge si Internet Explorer est utilisé.
  • Lorsque OTP est configuré, la méthode Basée sur les actions doit être la méthode de lecture de connexion sélectionnée dans Lecture de la connexion. L'OTP ne fonctionnera pas avec la connexion basée sur les demandes.
Pour voir notre courte démonstration vidéo, cliquez sur l'icône ci-dessous :
Option Description

Mot de passe à usage unique et à durée limitée

Pour les mots de passe à usage unique et à durée limitée, vous devez fournir à AppScan les informations suivantes :
  • Clé secrète
  • Longueur du mot de passe à usage unique (nombre de chiffres)
  • Algorithme de hachage utilisé (sélectionner dans la liste déroulante)
  • Etape de temps (en secondes)
Conseil : L'heure sur la machine AppScan et sur le serveur testé doit être la bonne.

Mot de passe à usage unique généré par URL

Si le mot de passe à usage unique est accessible à partir d'une URL désignée, vous pouvez configurer AppScan pour qu'il l'extraie à partir de la réponse de l'URL. Vous devez fournir à AppScan les informations suivantes :
  • Adresse URL
  • Expression régulière qui identifie le mot de passe à usage unique dans la réponse d'URL.

Aucun

Le mot de passe à usage unique n'est pas utilisé par le site, ou l'examen des pages qui utilisent le mot de passe à usage unique n'est pas requis.

Options avancées

Paramètres HTTP du mot de passe à usage unique

Si vous avez sélectionné l'un des types de mot de passe à usage unique, lorsque vous enregistrez et validez la procédure de connexion enregistrée, AppScan® identifie le nom du mot de passe à usage unique ou l'ID d'élément dans le trafic et les ajoute à la liste Remplissage automatique de formulaires. Il sera également affiché ici.

Si AppScan® ne parvient pas à identifier le paramètre ou si vous utilisez la connexion automatique, vous devez ajouter le paramètre ici vous-même. S'il y en a plusieurs, ils doivent être séparés par des virgules. Pour plus d'informations, voir la section ci-dessous.

Comment identifier le paramètre HTTP OTP

AppScan doit connaître le nom du paramètre qui contient l'OTP (afin de pouvoir se connecter à l'application) et l'identifie généralement lors de la validation de la procédure de connexion enregistrée. S'il n'y parvient pas, ou si vous utilisez la connexion automatique, vous devez ajouter le paramètre vous-même.

Procédez comme suit pour identifier le paramètre :
  1. Ouvrez un navigateur et accédez à la page de connexion de votre application.
  2. Cliquez sur F12 pour ouvrir le panneau des outils de développement du navigateur (s'ouvre à droite ou en dessous du panneau principal du navigateur).
  3. Cliquez sur l'onglet Eléments pour afficher le code HTML.

    Lorsque vous sélectionnez une partie du code, l'élément est mis en évidence dans le volet principal du navigateur.

  4. Localisez l'élément qui met en évidence la zone OTP.
    Exemple :
    <input type="text" name="OTPvalue" value="">
  5. La valeur du paramètre name, sans guillemets, est le paramètre HTTP OTP dont vous avez besoin.
    Exemple :
    OTPvalue
  6. S'il existe plusieurs paramètres HTTP OTP, cliquez sur Ajouter autre pour ajouter des champs supplémentaires si besoin.