Enregistrer les connexions à l'aide d'un navigateur
Avant de commencer
Pour pouvoir enregistrer une séquence de connexion pour une application, l'URL de départ doit être définie dans Configuration > URL de départ et la vue domaines. Si vous utilisez un client externe pour envoyer des requêtes vers l'application, vous ne devez pas nécessairement utiliser une adresse URL de départ, mais AppScan définira une adresse URL de départ pour lui-même après la fin de la phase d'exploration
Pourquoi et quand exécuter cette tâche
L'enregistrement d'une connexion au sein d'un navigateur vous permet d'apprendre à AppScan® sur quels liens cliquer, quel texte entrer dans les formulaires et l'ordre dans lequel effectuer ces opérations, afin qu'il puisse se connecter au cours de l'examen. Une fois que vous êtes connecté, AppScan identifie un schéma en session pouvant servir ultérieurement pour vérifier qu'il est toujours connecté.
Au cours du balayage, AppScan doit savoir à tout moment s'il est connecté ou déconnecté du site afin de pouvoir évaluer correctement les réponses du site. Pendant l'examen, AppScan envoie la demande de détection en session à plusieurs reprises et vérifie que la réponse contient le schéma de détection en session, afin de vérifier qu'il est toujours connecté. Si AppScan ne trouve pas le schéma dans la réponse de la page, AppScan suppose qu'il a été déconnecté et tente de se reconnecter en réexécutant la séquence de connexion. La séquence de connexion est, en général, exécutée plusieurs fois pendant l'examen. Il est donc préférable qu'elle contienne un nombre d'étapes aussi réduit que possible. Il est également utile que la page En session soit de petite taille et qu'elle ne contienne pas de paramètres suivis ou de cookies, car ces derniers peuvent prolonger considérablement la durée de l'examen.
Pour enregistrer la connexion :
Procédure
- Dans Configuration > Gestion des connexions, sélectionnez Enregistré.
-
Cliquez sur Enregistrer la séquence de connexion puis sélectionnez le navigateur que vous utiliserez pour vous connecter :
Option Description Navigateur Chromium d'AppScan Le navigateur intégré Chromium est le navigateur par défaut et recommandé. Navigateur externe Actif uniquement si vous avez configuré AppScan® pour utiliser un navigateur externe lors de l’examen (Outils > Options > Utiliser le navigateur externe > Sélectionner le navigateur). Si possible, il vaut mieux utiliser le navigateur Chromium d'AppScan, car il enregistre des informations supplémentaires qui améliorent la réussite de la connexion pendant le balayage. N'utilisez le navigateur externe que si l'enregistrement de la connexion avec les navigateurs d'AppScan ne fonctionne pas pour votre application.
Le navigateur ouvre l'URL de départ et commence à enregistrer vos actions.Remarque :- Si l'URL de départ n'a pas encore été définie, vous êtes invité à le faire avant de pouvoir poursuivre (voir URL de départ et domaines).
- Si une procédure de connexion a précédemment été enregistrée, vous êtes averti que le nouvel enregistrement écrasera l'existant.
-
Connectez-vous au site :
Connectez-vous au site, en remplissant les formulaires et en cliquant sur les liens requis pendant votre session de connexion.Conseil : La page à laquelle vous accédez lorsque vous vous êtes connecté sera utilisée par défaut comme URL En session par AppScan. AppScan envoie cette URL toutes les quelques secondes pendant l'examen, pour vérifier qu'il est toujours connecté. Si la page envoie une réponse volumineuse, ou si elle inclut des paramètres suivis ou des cookies, vous pouvez améliorer les performances de l’examen en cliquant sur un ou plusieurs des liens complémentaires jusqu'à ce que vous atteigniez une page avec une réponse plus petite (en restant connecté) et n’incluant aucun paramètre suivi ni cookie. Après avoir fermé votre navigateur, allez dans l'onglet Vérifier et valider et sélectionnez la page ultérieure comme "URL en session".
-
Une fois connecté avec succès au site :
Cliquez sur Je suis connecté au siteRemarque : Parfois, la page de connexion ne fournit pas suffisamment d'informations, et AppScan peut vous demander de cliquer sur une étape supplémentaire après la connexion ou de vous déconnecter.
Le navigateur se ferme et AppScan® extrait les informations de connexion en vue de leur utilisation durant l’examen.
La boîte de dialogue Informations sur la session s'ouvre et affiche les demandes de connexion que vous avez enregistrées, ainsi qu'un indicateur de statut vert, indiquant que la détection en session est active.
Remarque : Si l'indicateur devient rouge, cela signifie que AppScan® a tenté, sans y parvenir, d'identifier un schéma dans la page En session lors de l'examen pour vérifier qu'il n'était pas déconnecté. Dans ce cas, vous devez identifier le « schéma en session » de AppScan®. Pour plus d'informations, voir Boîte de dialogue Sélectionnez un schéma de détection. Dans certains cas un message plus spécifique s'affiche avec un lien vers une page de la présente aide pour traiter le problème. Voir Traitement des incidents liés à la connexion. - Pour modifier la séquence enregistrée (par exemple pour supprimer les étapes inutiles), voir Lecture de la connexion.Conseil : En général, l'adresse URL de connexion de l'utilisateur (et dont la réponse est la première à inclure un schéma En session) doit être celle marquée En session. Toutefois, il est parfois nécessaire de sélectionner une autre adresse URL qui comprend aussi le schéma En session mais qui a l'avantage de correspondre à une page plus petite et de ne pas inclure de paramètres ou de cookies suivis. En outre, la demande POST contenant les données d'identification de l'utilisateur est parfois la demande qui vous permet de vous connecter et qui contient d'abord le schéma En session. Ce n'est pas le meilleur choix pour la page En session, car la vérification En session enverra les données d'identification chaque fois, entraînant un faux positif dans la réponse de la session. Voir Optimisation de la détection en session
- Pour enregistrer la nouvelle séquence de connexion, cliquez sur OK.Conseil : Si vous êtes sûr que la page En session ne contient aucun paramètre suivi ou cookie, améliorez les performances de l'examen en définissant le paramètre Configuration avancée > Gestion de session : Analyser la page En session sur « False ». Voir Configuration avancée.