Examen dynamique (DAST)

AppScan 360° peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles dans AppScan 360° ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.

L'assistant d'examen DAST propose trois chemins :


Option	Description
Créer un nouvel examen	Configurez et exécutez votre examen dans à l'aide des options de l'assistant AppScan 360°. Chargez un enregistrement de la procédure de connexion, le cas échéant. Chargez un fichier de trafic (DAST.CONFIG) pour vous assurer que des parties spécifiques de l'application sont couvertes. Créer un examen (configuration complète)
Charger le fichier du modèle	Si vous disposez d'un modèle AppScan Standard (SCANT), vous pouvez l'utiliser comme configuration pour votre examen AppScan 360°. Cela vous permet de bénéficier de toutes les options de configuration disponibles dans AppScan Standard. Un modèle AppScan Standard inclut également l'enregistrement de connexion et la configuration en plusieurs étapes. Le modèle n'inclut pas d'exploration manuelle, mais vous pouvez charger un enregistrement de trafic (fichier DAST.CONFIG) pour vous assurer que des parties spécifiques de l'application sont couvertes. Créer un examen à partir d'un modèle de fichier
Charger le fichier de l'examen	Si vous disposez d'un fichier d'examen AppScan Standard (SCAN), vous pouvez l'utiliser comme configuration pour votre examen AppScan 360°. L'exploration manuelle, les opérations en plusieurs étapes et les fichiers d'API Web, tels qu'une collection Postman enregistrée dans le fichier SCAN, sont inclus dans l'examen. Vous pouvez exécuter un examen complet ou utiliser la date d'exploration existante à partir du fichier et exécuter uniquement l'étape de test de l'examen. Créer un examen à partir d'un fichier d'examen

Examen des API Web

Lors de l'examen d'une API Web, tenez compte des points suivants :

L'exploration automatique ne fonctionnera pas pour une API Web. Vous devez donc fournir un enregistrement de trafic. Voir Enregistrement du trafic
Si vous disposez d'une collection Postman, vous pouvez l'importer dans AppScan Standard, l'enregistrer en tant que fichier SCAN, puis Créer un examen à partir d'un fichier d'examen.

Rubriques connexes

Pour consulter une liste des classes de menaces testées dans l'analyse dynamique, ainsi que leurs CWE associés, consultez Analyse dynamique.