Evaluation des résultats de l'exploration
Avant de passer à l'étape de test, passez en revue les résultats de l'exploration, car les zones importantes du site qui auraient été omises pendant l'étape d'exploration ne seraient pas testées pendant l'étape de test.
Pourquoi et quand exécuter cette tâche
Remarque : En cas de modification de la configuration au cours de cette étape, vous devrez réexplorer l'application avant de lancer l'étape de test.
Procédure
- Journal d'examen. Consultez-le pour vérifier que AppScan n'a pas été hors session trop souvent.
- Cliquez sur Afficher > Journal d'examen.
- Faites défiler les entrées du journal pour vérifier que AppScan n'a pas été hors session trop souvent.
Si AppScan a été hors session plus de deux fois en l'espace de cinq minutes, il peut être utile de refaire l'enregistrement et de reconfigurer la connexion enregistrée en accordant une attention toute particulière à la configuration de la détection en session.
- Arborescence de l'application. Il s'agit d'une représentation graphique de toutes les zones du site qui ont été reconnues et explorées. Utilisez-la pour voir si la couverture du site est satisfaisante.
- L'arborescence de l'application représente-t-elle précisément la structure de l'architecture et les pages principales de votre application ?
- L'arborescence contient-elle des URL de connexion ? (Si elle n'en contient pas, la connexion n'a jamais été envoyée.)
- Le nombre total d'URL visitées (angle inférieur gauche) correspond-il à la taille du site telle que vous le concevez ?
- Un nombre raisonnable de tests, destinés à l'étape de test, ont-ils été créés (au minimum cinq fois autant que d'URL) ?
- Requêtes envoyées. Passez en revue et validez les requêtes envoyées pendant l'étape d'exploration.
- Dans la sous-fenêtre des données, sélectionnez la vue Requêtes pour afficher toutes les requêtes envoyées.
- Vérifiez que les URL de connexion apparaissent dans cette liste, particulièrement la requête En session et la requête de connexion contenant les données d'identification de l'utilisateur.
- Consultez un certain nombre des requêtes qui s'affichent après la requête de connexion dans la procédure de connexion. Vérifiez que la réponse ne contient pas d'erreur. Pour ce faire, entrez le mot "error" dans la zone de recherche de la sous-fenêtre Détails, puis sélectionnez les URL une par une dans le panneau supérieur. Si une réponse spécifique contient le mot "error", la couleur de la zone de recherche passe du rouge ("introuvable") au vert ("trouvé"), et le mot "error" est mis en évidence dans le corps de la réponse.
- Si ces requêtes contiennent des chaînes d'erreur, cela indique que l'utilisateur était hors session, et donc que la procédure de connexion n'a pas été enregistrée correctement. Réenregistrez-la.
- Vue Données d'application. Il s'agit de la vue par défaut pendant l'étape de test, et permet d'accéder à différentes vue en cliquant sur les filtres situés en haut de la sous-fenêtre.
- Cliquez sur F2, ou sur l'icône des données sur la droite de la barre d'outils pour ouvrir cette vue.
- En haut de la sous-fenêtre Données, sélectionnez un filtre pour afficher les informations.
- Cliquez sur un élément de la sous-fenêtre des données pour afficher ses caractéristiques dans la sous-fenêtre Détails.
-
Pages d'erreur. Les réponses 4xx sont identifiées automatiquement en tant que pages d'erreur. Si le site renvoie des réponses 2xx avec des pages d'erreur, vous devez configurer AppScan pour qu'il les reconnaisse. Ces informations sont essentielles pour déterminer si les tests ont abouti. Les pages d'erreur non configurées génèrent des résultats inexacts, à la fois faussement positifs et faussement négatifs. Ainsi, si vous avez trouvé, dans les étapes suivantes, des pages dont la réponse contenait le mot "error", configurez-les maintenant.
- URL filtrées. Passez en revue la liste des requêtes qui n'ont pas été envoyées, pour vérifier qu'elle ne contient pas de requête qui auraient dû être envoyées.
- Navigation basée sur des paramètres. Si le site ou une partie du site envoie une URL, tandis que différents paramètres contrôlent le contenu et la structure, reportez-vous à la rubrique Sites utilisant une navigation basée paramètres.
- Paramètres. Dans la sous-fenêtre Données, passez en revue les paramètres reconnus pendant l'étape d'exploration.
- Dans la sous-fenêtre Données, sélectionnez la vue Paramètres pour afficher tous les paramètres détectés pendant l'étape d'exploration.
- Si nécessaire, mettez à jour les définitions (Configuration > Paramètres et cookies).
- Demandes ayant échoué. Il s'agit des requêtes dont les réponses ont le statut 4xx ("Error"). Passez en revue cette liste pour vérifier si des requêtes légitimes ont reçu des réponses d'erreur inattendues.
- Dans la sous-fenêtre Données, sélectionnez la vue Demandes ayant échoué.
- 404 - introuvable : Cliquez sur Afficher dans le navigateur pour vérifier que l'URL n'existe pas.
- Délai d'expiration ou échec de la connexion : Vérifiez si l'examen nécessite un délai plus élevé (Configuration > Communication et proxy > Délai d'expiration), si le serveur ou l'environnement du site doit être amélioré, ou si les problèmes de communication sont dus à des demandes envoyées simultanément (Configuration > Communication et proxy > Nombre d'unités d'exécution, et réduisez le paramètre à "1"), ou à un trop grand nombre de demandes envoyées à un moment donné (Configuration > Communication et Proxy > Limite de débit de demande).
- 401 ou 407 Authentification requise : Certaines zone de l'application demandent une authentification HTTP (à définir dans Configuration > Authentification via la plateforme).
- Autres statuts 4xx : Vérifiez si le site a renvoyé une erreur car l'utilisateur n'était pas connecté. Si nécessaire, enregistrez à nouveau la procédure de connexion (Configuration > Gestion des connexions).
- Si, après avoir passé en revue les résultats initiaux de l'exploration, vous pensez que la couverture est insuffisante, reportez-vous à la section qui suit pour déterminer d'éventuelles modifications de la configuration. Voir Configuration supplémentaire.