Accueil
Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
Vues
Stratégie de test et optimisation
Définissez la collection de tests qui sera envoyée à l'application pendant le test (la stratégie de test) et choisissez d'appliquer l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit où vous accordez plus d'importance à la vitesse qu'à la profondeur de l'examen.
Stratégies prédéfinies

Bienvenue
Bienvenue dans la documentation relative à HCL AppScan Standard, version 10.9.0.
Mise en route
La présente section fournit un court descriptif des fonctions et des procédures de base du produit.
Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
- Prédéfinitions
  Les prédéfinitions vous donnent les principales vues de configuration requises pour un type d'examen particulier.
- Vues
  - URL de départ et domaines
    Configurez l'URL de départ pour l'examen, ainsi que tous les serveurs et domaines supplémentaires éventuels à inclure.
  - API
    Pour examiner les API Web, définissez votre type d'API, explorez les méthodes et spécifiez les domaines à tester.
  - Chemins et fichiers exclus
    Vous pouvez configurer AppScan pour qu'il ignore certains chemins de l'application ou des types de fichier spécifiques.
  - Opérations en plusieurs étapes
    Enregistrez et gérez les opérations en plusieurs étapes requises pour atteindre des parties spécifiques de l'application qui pourraient sinon être manquées.
  - Gestion de connexion
    Indiquez à AppScan® comment se connecter à votre application.
  - Clé d'API
    AppScan Standard prend en charge l'authentification API pour l'examen des API qui nécessitent une clé API.
  - Authentification multifactorielle (MFA)
    Configurez AppScan® pour utiliser un mot de passe à usage unique ou des questions de sécurité (authentification multifactorielle) lors de la connexion.
  - Authentification HTTP
    Ajoutez une authentification de niveau serveur et des certificats côté client, si cela est requis par l'application
  - Autorisation AWS
    Configurez les paramètres AWS.
  - Communication et proxy
    Configurez les paramètres de délai d'attente de communication et de serveur proxy.
  - Paramètres, cookies et en-têtes
    Identifiez les ID session et répertoriez les paramètres à exclure de l'examen.
  - Remplissage automatique de formulaires
    Fournissez à AppScan® des valeurs de paramètre valides pour le remplissage de formulaires dans votre application lors de l'examen.
  - Pages d'erreur
    Améliorez l'identification des pages d'erreur de votre application en ajoutant des chaînes ou des expressions régulières qui permettent à AppScan® de reconnaître vos pages d'erreur dans le contenu de la réponse, dans son chemin d'accès ou dans les deux. Cela garantit qu'AppScan peut reconnaître et traiter efficacement vos pages d'erreur, contribuant ainsi à la précision globale de vos examens de sécurité.
  - Explorer les options
    Définissez la méthode d'exploration (basée sur les actions, basée sur les demandes, ou les deux) qu'AppScan utilisera pour explorer l'application, ainsi que d'autres paramètres d'exploration de base et avancés.
  - Stratégie de test et optimisation
    Définissez la collection de tests qui sera envoyée à l'application pendant le test (la stratégie de test) et choisissez d'appliquer l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit où vous accordez plus d'importance à la vitesse qu'à la profondeur de l'examen.
    - Editer une stratégie de test
      La vue Stratégie de test peut être utilisée pour ajuster précisément votre stratégie de test sélectionnée.
    - Importer une stratégie de test
    - Stratégies prédéfinies
  - Définition de l'environnement
    La définition de l'environnement n'est pas essentielle mais permet à AppScan® de ne pas envoyer de tests inappropriés lors de l'examen, ce qui le rend plus rapide et plus efficace. La personnalisation des scores environnementaux CVSS 3.1 améliore la précision de vos résultats d'examen.
  - Options de test
    Options de test supplémentaires.
  - Configuration avancée
    Cette vue donne accès à de nombreux paramètres avancés et ne doit être utilisée que par des utilisateurs AppScan expérimentés, ou lorsque l'équipe de support vous le demande pour résoudre un problème.
  - Scripts personnalisés
    Intégrez des scripts personnalisés à vos examens DAST avec AppScan pour manipuler les requêtes et les réponses HTTP de manière dynamique, améliorant ainsi la flexibilité et l'efficacité de vos tests de sécurité.
  - Escalade des droits d'accès
    Comparez les examens qui utilisaient d'autres privilèges utilisateur pour déterminer si les ressources privilégiées sont accessibles aux utilisateurs non privilégiés.
  - Vue basée sur le contenu
    Permet de définir une structure logique pour l'arborescence de l'application, pour les cas où une arborescence basée sur une URL ne sera qu'une longue liste sous une ou deux URL. Il n'est pas primordial de procéder ainsi, mais cela facilite l'exploration des résultats.
- Structure des fichiers d'examen
  Explique la structure de base d'un fichier SCAN standard AppScan.
- Modèles d'examen
  Un modèle d'examen est simplement une configuration d'examen sauvegardée de sorte à pouvoir la réutiliser.
- Modification de la configuration pendant un examen
Intelligent Finding Analytics (IFA)
Intelligent Finding Analytics (IFA) utilise l'intelligence artificielle (AI) et l'apprentissage automatique (ML) pour analyser les données, découvrir des motifs et faire des prédictions, transformant ainsi les données en informations exploitables. IFA va au-delà de l'analyse de données classique en utilisant des méthodes avancées pour découvrir des significations plus profondes et prendre des décisions éclairées.
Exploration manuelle
L'exploration manuelle vous permet d'explorer des parties spécifiques de l'application en remplissant en même temps les zones et les formulaires. Cela permet de vous assurer que des zones spécifiques du site sont couvertes et qu'AppScan dispose des informations requises pour remplir correctement les formulaires.
Examen
La présente section décrit comment démarrer un examen, ce qui se produit lors de l'examen, comment manipuler manuellement l'étape d'exploration et comment exporter les résultats d'un examen.
Données
La vue Données contient des informations sur la structure du site pendant la phase d'exploration de l'examen.
Incidents
La vue Problèmes permet d'accéder aux résultats d'un examen. Vous pouvez visualiser des résultats à un niveau élevé ou sélectionner des tests ou des objets spécifiques et accéder à plus de détails. Ces détails comprennent des résolutions de problèmes, des demandes/réponses ainsi que les différences entre les variantes de test ayant provoqué des problèmes. Vous pouvez modifier la gravité des problèmes, renvoyer des tests (avec ou sans modifications) et créer des rapports basés sur les problèmes.
Rapports
Outils
La présente section explique comment utiliser les outils supplémentaires fournis avec HCL AppScan Standard.
Intégrations
Cette section décrit les intégrations d'autres applications à AppScan Standard :
Meilleures pratiques
La présente section fournit un certain nombre de valeurs recommandées et des scénarios d'utilisation pour les utilisateurs avancés.
FAQ et traitement des incidents
Interface de ligne de commande
La présente section décrit la syntaxe et les options disponibles avec l'interface de ligne de commande.
Références
Résumés des menus et des barres d'outils, et glossaire

Stratégies prédéfinies

Dans Configuration > Stratégie de test et optimisation, la liste déroulante vous permet de sélectionner une stratégie prédéfinie ou récemment utilisée. Le tableau ci-dessous répertorie les stratégies prédéfinies, qui fournissent une large gamme de stratégies utiles pour les besoins courants.

Remarque : Les stratégies marquées d'un astérisque (*) sont obsolètes et n'apparaissent pas dans la liste déroulante de sélection. Toutefois, elles sont toujours disponibles dans le dossier Stratégies :

C:\Program Files (x86)\HCL\AppScan Standard\Policies


Nom de la stratégie	Description
Par défaut	Inclut tous les tests, à l'exception des tests invasifs et d'écouteur des ports.
Application uniquement	Inclut tous les tests de niveau application, à l'exception des tests invasifs et d'écouteur des ports.
Infrastructure uniquement	Inclut tous les tests de niveau infrastructure, à l'exception des tests invasifs et d'écouteur des ports.
Tiers uniquement	Inclut tous les tests de niveau tiers, à l'exception des tests invasifs et d'écouteur de port.
Invasif	Inclut tous les tests invasifs (tests susceptibles d'influer sur la stabilité du serveur).
Terminer	Inclut tous les tests AppScan®.
Site de production	Exclut les tests invasifs susceptibles de dégrader le site ou les tests pouvant entraîner un refus de service aux autres utilisateurs. Remarque : Pour plus d'informations sur l'examen d'un site opérationnel, voir Examen des environnements de production opérationnels.
Rapport OWASP Top 10 2021	Comprend tous les tests pour les dernières 10 principales catégories de vulnérabilités mappées par OWASP.
Rapport OWASP : Les 10 principaux risques liés à la sécurité des API en 2023	Comprend tous les tests pour les dernières 10 principales catégories de vulnérabilités API mappées par OWASP.
Services Web*	Inclut tous les tests associés à REST et SOAP, à l'exception des tests invasifs et d'écouteur de port.
Le minimum indispensable*	Inclut une sélection de tests présentant une forte probabilité de réussite. Utile pour évaluer un site si vous disposez de peu de temps.
Fondamentaux du développeur*	Inclut une sélection de tests d'application présentant une forte probabilité de réussite. Utile pour évaluer un site si vous disposez de peu de temps.