Options de test
Options de test supplémentaires.
Paramètre |
Détails |
---|---|
Généraux |
|
Utiliser des tests adaptatifs |
AppScan peut envoyer plusieurs milliers de tests à un site. Cependant, pour réduire le temps d'examen, il peut envoyer des tests préliminaires qui déterminent, de façon intelligente, quels sont les tests appropriés à envoyer et quels sont ceux qui ne le sont pas. Ces « tests adaptatifs » peuvent considérablement réduire le temps d'examen, sans pour autant diminuer son efficacité. Décochez cette case si vous souhaitez qu'AppScan® envoie tous ses tests au site. |
Autoriser l'examen en plusieurs phases |
AppScan analyse les réponses aux tests qu'il envoie à votre application. A partir de cette analyse, AppScan® découvre fréquemment du contenu supplémentaire, tel que des liens invisibles lors de la première "phase" de l'examen. L'examen en plusieurs phases permet à AppScan de répéter les étapes d'exploration et de test sur ce contenu nouvellement détecté. (La phase supplémentaire est généralement plus courte car elle n'implique que les nouveaux liens.) L'examen en plusieurs phases est configuré par défaut pour permettre un maximum de 4 phases d'examen. Notez que l'examen en plusieurs phases s'applique uniquement lorsque vous exécutez un examen intégral. Si vous utilisez les fonctions Exploration uniquement et Test uniquement, le résultat sera un examen à une seule phase. |
Analyser les résultats pour rechercher les problèmes déclenchés par inadvertance |
Lorsque cette option est sélectionnée, AppScan® analyse chaque réponse du test pour détecter d'autres problèmes de sécurité en plus de celui qu'il a testé. Désélectionnez cette option si l'application est très grande ou si les examens génèrent un grand nombre de résultats faux positifs. |
Inclure toutes les variantes de chaque problème |
(Actif uniquement si la case précédente est cochée.) Lorsque cette option est sélectionnée, AppScan analyse toutes les variantes de chaque problème déclenché par inadvertance. Lorsqu'elle est désélectionnée, une seule variante par problème est analysée. Il n'est généralement pas nécessaire de cocher cette case, car cela augmente considérablement la durée de l'analyse. |
Tester les problèmes de sécurité des cookies dans les demandes de soumission de formulaire uniquement |
Lorsque ce paramètre est sélectionné (par défaut), AppScan applique les tests associés à des cookies uniquement aux cookies utilisés dans les demandes de soumission de formulaire. Pour une précision plus élevée (impliquant également une durée d'examen plus longue), décochez cette case afin qu'AppScan® soumette des tests de cookie pour toutes les requêtes HTTP pertinentes. |
Signaler les composants vulnérables |
Les composants tiers de votre code sont identifiés lors de la phase d'exploration et s'affichent dans la vue Données. Lorsque cette option est sélectionnée (par défaut), AppScan signale les vulnérabilités connues dans ces composants dans la vue Problèmes et suggère des mises à jour. |
Tests de connexion/déconnexion |
|
Envoyer les tests sur les pages de connexion |
Nous vous recommandons d'autoriser AppScan à tester les pages de connexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée illégale ou si le flux de l'application serait altéré si AppScan® testait ces pages. |
Ne pas envoyer d'identificateurs de session lors des tests des pages de connexion. |
(Actif uniquement si la case précédente est cochée.) Il est recommandé de laisser cette case cochée, car les identificateurs de session peuvent limiter la réussite des tests des pages de connexion. Désactivez cette option uniquement si vous êtes certain que des jetons de session valides sont nécessaires pour tester vos pages de connexion. Notez que même lorsque cette case est sélectionnée, certains tests sont tout de même envoyés avec des identificateurs de session, pour empêcher les résultats faux positifs. |
Envoyer les tests sur les pages de déconnexion |
Nous vous recommandons d'autoriser AppScan à tester les pages de déconnexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée illégale ou si le flux de l'application serait altéré si AppScan® testait ces pages. |
Variantes non vulnérables |
|
Sauvegarder les informations sur les variantes de test non vulnérables |
Lors d'un examen, AppScan envoie plusieurs milliers de variantes du test au site testé. La plupart des réponses indiquent qu'il n'y a aucune menace concernant la sécurité, et AppScan® annule par défaut tous ces résultats "non vulnérables", réduisant ainsi considérablement le volume des données de résultats. Si vous cochez cette case, AppScan enregistre toutes les variantes non vulnérables. Un avertissement s'affiche car cette option réduit la performance d'AppScan® et augmente considérablement l'espace disque requis. Pour plus de détails, voir Variantes non vulnérables |
Gestion des problèmes |
|
Appliquer les classifications de bruit précédentes à cet examen |
Si, lors d'un examen précédent, vous avez classé un ou plusieurs problèmes comme "Bruit" (ne s'appliquant pas à votre application), les mêmes paramètres sont automatiquement appliqués aux examens à venir, sauf si vous décochez cette case. Pour plus de détails, voir Etat du problème : Ouvert ou Bruit |