Options de test
Options de test supplémentaires.
Paramètre |
Détails |
---|---|
Général |
|
Utiliser les tests adaptatifs |
AppScan peut envoyer plusieurs milliers de tests à un site. Cependant, pour réduire le temps d'examen, il peut envoyer des tests préliminaires qui déterminent, de façon intelligente, quels sont les tests appropriés à envoyer et quels sont ceux qui ne le sont pas. Ces « tests adaptatifs » peuvent considérablement réduire le temps d'examen, sans pour autant diminuer son efficacité. Décochez cette case si vous souhaitez qu'AppScan envoie tous ses tests au site. |
Autoriser l'examen en plusieurs phases |
AppScan analyse les réponses aux tests qu'il envoie à votre application. A partir de cette analyse, AppScan découvre fréquemment du contenu supplémentaire, tel que des liens invisibles lors de la première « phase » de l'examen. L'examen en plusieurs phases permet à AppScan de répéter les étapes d'exploration et de test sur ce contenu nouvellement détecté. (La phase supplémentaire est généralement plus courte, car elle n'implique que les nouveaux liens.) L'examen en plusieurs phases est configuré par défaut pour permettre un maximum de 4 phases d'examen. Notez que l'examen en plusieurs phases s'applique uniquement lorsque vous exécutez un examen intégral. Si vous utilisez les fonctions Exploration uniquement et Test uniquement, le résultat sera un examen à une seule phase. |
Enregistrer une seule variante par problème | Par défaut, AppScan teste plusieurs variantes par problème pour garantir une détection complète des vulnérabilités. Pour optimiser le temps d'examen, vous pouvez activer cette option qui permet à AppScan de cesser les tests dès que la première variante d'un problème est détectée. Bien que cela réduise le temps d'analyse, il est important de garder à l'esprit que certaines vulnérabilités avec différentes variations peuvent être manquées. |
Analyser les réponses aux tests pour détecter les problèmes qui dépassent la portée spécifique du test |
Lorsque cette option est sélectionnée, AppScan analyse chaque réponse du test pour détecter d'autres problèmes de sécurité en plus de celui qu'il a testé. Désélectionnez cette option si l'application est très grande ou si les examens génèrent un grand nombre de résultats faux positifs. |
Analyser une seule variante pour les problèmes qui dépassent la portée spécifique du test | Par défaut, AppScan analyse une seule variante pour les types de problèmes plus larges afin d'améliorer l'efficacité et d'éviter la redondance. Pour analyser d'autres variantes, désélectionnez cette option, mais notez que cela augmentera le temps d'examen. Si vous avez sélectionné « Enregistrer uniquement une variante par problème » et « Analyser les réponses aux tests pour les problèmes au-delà du périmètre spécifique des tests », cette option est sélectionnée par défaut et ne peut pas être modifiée. |
Inclure toutes les variantes de problèmes qui dépassent la portée spécifique du test. |
(Actif uniquement si la case précédente est cochée.) Lorsque cette option est sélectionnée, AppScan analyse toutes les variantes de chaque problème pour détecter d'autres problèmes de sécurité en plus de celui qu'il a testé. Lorsqu'elle est désélectionnée, une seule variante par problème est analysée. Il n'est généralement pas nécessaire de cocher cette case, car cela augmente considérablement la durée de l'analyse. |
Tester les problèmes de sécurité des cookies dans les demandes de soumission de formulaire uniquement |
Lorsque ce paramètre est sélectionné (par défaut), AppScan applique les tests associés à des cookies uniquement aux cookies utilisés dans les demandes de soumission de formulaire. Pour une précision plus élevée (impliquant également une durée d'examen plus longue), décochez cette case afin qu'AppScan soumette des tests de cookie pour toutes les requêtes HTTP pertinentes. |
Signaler les composants vulnérables |
Les composants tiers de votre code sont identifiés lors de la phase d'exploration et s'affichent dans la vue Données. Lorsque cette option est sélectionnée (par défaut), AppScan signale les vulnérabilités connues dans ces composants dans la vue Problèmes et suggère des mises à jour. Pour plus de détails, voir Components. Pour vous assurer que AppScan utilise la dernière version de la base de données des composants vulnérables, vous pouvez télécharger les dernières mises à jour, puis les importer à l'aide de l'option Importer un fichier sous . Pour plus d'informations, reportez-vous à la section Importer un fichier. |
Tests de connexion/déconnexion |
|
Envoyer les tests sur les pages de connexion |
Nous vous recommandons d'autoriser AppScan à tester les pages de connexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée illégale ou si le flux de l'application serait altéré si AppScan testait ces pages. |
Ne pas envoyer d'identificateurs de session lors des tests des pages de connexion. |
Actif uniquement si la case « Envoyer les tests sur les pages de connexion » est cochée. Il est recommandé de laisser cette case cochée, car les identificateurs de session peuvent limiter la réussite des tests lors de la vérification des pages de connexion. Désactivez cette option uniquement si vous êtes certain que des jetons de session valides sont nécessaires pour tester vos pages de connexion. Notez que même lorsque cette case est cochée, certains tests sont tout de même envoyés avec des identificateurs de session, pour éviter les résultats faux positifs. |
Envoyer les tests sur les pages de déconnexion |
Nous vous recommandons d'autoriser AppScan à tester les pages de déconnexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée illégale ou si le flux de l'application serait altéré si AppScan testait ces pages. |
Non vulnérables |
|
Enregistrer les informations non vulnérables |
Lors d'un examen, AppScan envoie plusieurs milliers de variantes du test au site testé. La plupart des réponses indiquent qu'il n'y a aucune menace concernant la sécurité, et AppScan annule par défaut tous ces résultats "non vulnérables", réduisant ainsi considérablement le volume des données de résultats. Cochez cette case pour configurer AppScan afin d'enregistrer toutes les variantes non vulnérables. ATTENTION : L'enregistrement des variantes de test non vulnérables peut ralentir les performances d'AppScan® et augmenter considérablement l'espace disque requis. Pour plus d'informations, voir Non vulnérables. |
Gestion des problèmes |
|
Appliquer les classifications de bruit précédentes à cet examen |
Si vous avez précédemment identifié un ou plusieurs problèmes comme du « Bruit » dans un examen (indiquant qu'il s'agit d'éléments non pertinents pour votre application), le système appliquera automatiquement les mêmes paramètres aux examens suivants, sauf si vous décochez cette case. Pour plus d'informations, voir Etat du problème : Ouvert ou Bruit. |
Configuration d'Azure OpenAI |
|
Nœud final | Saisissez la valeur au format suivant : Exemple : https://aoairesource.openai.azure.com/openai/deployments/GPT-4o/completions .Pour plus d'informations, reportez-vous à la rubrique Configuration d'Azure OpenAI. |
Clé d'API | Entrez la clé d'API. Pour plus d'informations, reportez-vous à la rubrique Configuration d'Azure OpenAI. |