Flux de travaux d'examen automatique de l'application Web

Fournit un flux de travaux simple pour l'examen automatique d'une application Web.

AppScan offre une évaluation détaillée de votre application Web. Il exécute des milliers de tests basés sur tous les niveaux de techniques utilisateur classiques ainsi que sur les accès non autorisés et les injections de code.

Lorsque vous exécutez un examen sur votre application, AppScan envoie les tests à votre application Web. Les résultats des tests sont fournis par le moteur intelligent de site d'AppScan. Ils sont présentés dans des rapports volumineux et proposent des recommandations de correctifs, disponibles pour la révision et la manipulation améliorées.

AppScan est un outil interactif : vous décidez de la configuration de l'examen et déterminez les mesures à prendre d'après les résultats.

Diagramme montrant un flux de travaux d'examen automatique de l'application Web.

Les utilisateurs expérimentés dans le domaine de la sécurité Web peuvent se reporter à la rubrique Flux de travaux pour les utilisateurs avancés.

Description du flux de travaux

  1. Configuration d'examen : Configurez l'examen en tenant compte des caractéristiques de votre site, de votre environnement et des autres exigences par le biais de Configuration > Eléments essentiels du Web :
    1. Entrer l'adresse URL de départ : Spécifiez l'URL à partir de laquelle l'examen commencera.
    2. Enregistrer la connexion : Capturez le processus de connexion pour vous assurer que les pages authentifiées sont examinées.
    3. (Facultatif) Vérifier la stratégie de test : Sélectionnez la stratégie de test en fonction de votre application Web.
  2. Démarrer un examen intégral : Lancez un examen intégral.

  3. L'examen automatique comprend les étapes d’exploration et de test.
    1. Etape d'exploration : AppScan explore votre site, visite les liens comme le ferait un utilisateur standard et enregistre les réponses. Il crée une hiérarchie des adresses URL, des répertoires, des fichiers, etc., trouvés dans votre application. Cette liste s'affiche dans l'Arborescence de l'application (voir Arborescence de l'application).
      Remarque : L'étape d'exploration peut être automatique, manuelle ou combiner les deux modes. Vous pouvez également importer un fichier des données d'exploration (voir Exporter des données d'exploration manuelle), qui consiste en une séquence d'exploration manuelle précédemment enregistrée. AppScan analyse ensuite les données qu'il a collectées sur le site et, en fonction de ces dernières, crée des tests pour le site. Ces tests sont conçus pour détecter les faiblesses de l'infrastructure (par exemple, les faiblesses de la sécurité pour les opérations commerciales, les produits tiers ou les systèmes Internet) et de l'application elle-même.
    2. Etape de test : Pendant l'étape de test, AppScan teste votre application, en fonction des réponses reçues lors de l'étape d'exploration, afin de détecter les faiblesses et évaluer leur degré de gravité.

      Une liste actualisée de tous les tests inclus à votre version courante d'AppScan peut être visualisée dans la boîte de dialogue Configuration des examens (voir Stratégie de test et optimisation).

      Vous pouvez également créer des tests définis par l'utilisateur en plus des tests créés et exécutés automatiquement par AppScan (voir Tests définis par l'utilisateur). Vos tests peuvent compléter ceux générés par AppScan et vérifier les résultats trouvés par ce dernier.

      Les résultats des tests sont affichés dans la Liste des résultats où vous pouvez les visualiser et les modifier. Les détails complets des résultats sont affichés dans le Panneau des détails.

  4. Activités post-examen :

    1. Vérifier les résultats : Analysez les résultat de l'examen et ajustez la configuration des examens, si nécessaire, en fonction de l'étude des résultats et relancez les examens.

    2. Vérifier les recommandations de correction : Évaluez et appliquez les correctifs suggérés pour résoudre les vulnérabilités identifiées.
    3. Explorez les liens manuellement : Vérifiez manuellement tout lien nécessitant un examen plus approfondi.
    4. Générer des rapports : Créez des rapports détaillés basés sur les résultats de l'examen.
Remarque : AppScan prend en charge à la fois l'exploration manuelle et l'importation du trafic enregistré, en complément de ses capacités d'examen automatique, offrant ainsi une approche complète de l'évaluation de la sécurité.