ID session
Si le site utilise des ID session restreints dans le temps (sous la forme de cookies ou de paramètres), il rejette les demandes contenant des jetons ayant expiré, occasionnant l'échec des tests du site.
Pour cette raison, AppScan doit pouvoir reconnaître et gérer les paramètres ou cookies HTML qui sont des ID session restreints dans le temps. AppScan attribue aux ID session les valeurs disponibles les plus récentes, empêchant ainsi l'expiration de la session de l'application.
Vous pouvez déterminer si AppScan doit automatiquement mettre à jour la valeur d'un ID session. Définissez le Statut d'un ID session :
- Valeur de connexion : (Recommandée) lorsqu'une demande de test contenant ce paramètre est envoyée, AppScan met automatiquement à jour l'ID session avec la dernière valeur reçue de l'application une fois que la connexion a abouti avant la demande En session.Conseil : Pour effectuer le suivi du paramètre dans la réponse En session, vous devez définir son type sur Valeur dynamique, et non Valeur de connexion, et vérifier que Configuration des examens > Configuration avancée > Gestion de session : Analyser la page En session est défini sur True (sa valeur par défaut).Ce statut est recommandé pour la plupart des paramètres et des cookies, à moins qu'il n'y ait un besoin particulier de définir une valeur spécifique. Toutefois, lorsque des ID session de valeur de connexion sont utilisés, la valeur peut expirer alors qu'elle se trouve dans la base de données.Remarque : Si vous enregistrez des étapes de connexion dans le cadre d'une séquence en plusieurs étapes, la définition d'un paramètre reçu en tant que valeur de connexion ne va pas affecter son mode d'utilisation. Il sera toujours considéré comme valeur dynamique. Pour plus de détails, voir Opérations en plusieurs étapes.
Pour mettre à jour un ID session suivi dans la base de données : Avant d'exécuter l'examen, visitez l'URL où l'ID session est envoyé. Un nouvel ID session sera envoyé, avec une valeur mise à jour.
-
Valeur dynamique : AppScan met automatiquement à jour la valeur de l'ID session lors de l'étape de test, selon les nouvelles valeurs définies par l'application Web dans les tests précédents (par exemple, comme avec Shadow Cookies).
Sélectionnez Dynamique uniquement si vous savez que votre application Web impose des mesures de sécurité exigeant qu'un ID session spécifique soit mis à jour lors de certaines procédures.
-
Valeur fixe : conserve une valeur fixe. Définissez une valeur fixe pour l'ID session si la sécurité de votre application Web a besoin de cet ID session pour conserver cette valeur.
Lors de l'étape d'exploration, AppScan détecte automatiquement des cookies et des paramètres HTML pouvant être des ID session et les ajoute à une liste. Vous pouvez manuellement ajouter les cookies et les paramètres que vous savez être des ID session lorsque vous configurez l'examen.