Onglet Principal

Configuration des examens > Options d'exploration > Onglet Principal.

Cet onglet permet de sélectionner la méthode d'exploration qu'AppScan doit utiliser pour l'examen et de configurer les options applicables aux deux méthodes.
Méthode d'exploration
ADAC utilise deux méthodes distinctes pour l'étape d'exploration de l'analyse. Vous pouvez sélectionner l'une des deux, ou les deux. Des deux méthodes disponibles, l'exploration basée sur les demandes est généralement plus rapide que l'exploration basée sur les actions. Lorsque ces deux méthodes sont sélectionnées (valeur par défaut recommandée), l'exploration basée sur les actions s'exécute en premier avec un délai maximal de 30 minutes, suivie de l'exploration basée sur les demandes.
Filtrage en fonction de la structure de page (DOM)
Cette option permet de réduire considérablement la durée de l'examen en identifiant les pages qui présentent un niveau de similarité suffisant avec les pages déjà explorées, ce qui permet à AppScan de les ignorer en toute sécurité.
Limites de l'examen
Cette option permet de déterminer la profondeur (ou la vitesse) à laquelle ADAC explore votre application.
Autres paramètres
Cette option permet de configurer le client pour reconnaître un codage de serveur spécifique et envoyer un en-tête d'agent d'utilisateur spécifique.

Paramètre

Détails

Méthode d'exploration

Basée sur les actions

Une version du navigateur Google Chrome est utilisée pour examiner le site comme le ferait un utilisateur en cliquant sur les liens visibles dans le navigateur. Cette méthode est particulièrement efficace lorsque de nouvelles technologies, comme JavaScript et le stockage de session, et des sites de type RIA, SPA (Single-Page Application) ou AngularJS sont utilisés.

Basée sur les demandes

Les demandes sont envoyées en fonction de l'ensemble du contenu des pages reconnu par AppScan. Cette procédure inclut le contenu qui n'est pas visible pour les utilisateurs d'un navigateur mais qu'un pirate pourrait détecter, comme des liens dans des commentaires.

Filtrage sur la structure de page (DOM)

Filtrer les pages identiques en fonction de leur structure (DOM)

AppScan® compare les nouvelles pages aux pages déjà explorées à la recherche d'une similitude structurelle (DOM) pour indiquer qu'elles ne contiennent pas de nouveaux liens ou de nouveaux contenus nécessitant des tests supplémentaires. Par exemple, sur un site commercial, il peut y avoir un catalogue composé de différentes pages individuelles pour un millier de produits différents, identiques dans tous les autres aspects. Il est généralement inutile d'examiner toutes ces pages. Le filtrage basé sur la similitude DOM peut réduire considérablement la durée de l'examen.

Par défaut, les deux options sont sélectionnées. Après l'examen, vous devez contrôler l'onglet Filtré des résultats de l'examen afin de vérifier si certaines demandes n'ont pas été exclues de l'examen par erreur. Si c'est le cas, essayez d'utiliser l'option "Filtrer moins de pages", qui maintient un niveau inférieur constant de filtrage, ou désactivez en même temps l'option Filtrage en fonction de la structure de page (DOM).

L'onglet Filtré des résultats contient trois types d'éléments filtrés :
  • DOM identique : Cela signale une page qui a été éliminée de l'examen parce que sa structure (DOM) est similaire à celle d'une page déjà explorée, et qu'elle ne contient probablement pas de nouveaux éléments à tester.
  • DOM probablement identique : Une requête n'a pas été envoyée car AppScan estime que la réponse présente une structure (DOM) identique à celle d'une page déjà explorée et qu'elle ne contient probablement aucun élément à tester.
  • Corps similaire : Demande (provenant d'une page qui n'a pas été filtrée en raison d'un élément DOM similaire) exclue de l'examen car le contenu du corps de la réponse est identique à celui d'une demande précédemment explorée.
Après l'examen, vous devez contrôler l'onglet Filtré des résultats de l'examen afin de vérifier si certaines demandes n'ont pas été exclues de l'examen par erreur. Si tel est le cas, vous devez décocher l'option de filtrage des pages probablement en double (option suivante) ou désactiver en même temps l'option Filtrage en fonction de la structure de page DOM.

Filtrer les pages susceptibles d'être identiques en fonction de leur structure (DOM)

Ce paramètre filtre les pages avec un "DOM probablement identique" lors de l'examen (voir description ci-dessus). Si des demandes uniques sont filtrées par erreur en dehors de l'examen, vous devez désactiver cette option.

Limites de l'examen

Limite pour les chemins d'accès redondants

AppScan n'accède pas au même chemin plus que le nombre de fois indiqué.

Un chemin particulier peut être visité plusieurs fois s'il apparaît avec différents paramètres. Cette limite est principalement utile pour les scripts. Cette option est désélectionnée par défaut, car dans la plupart des cas, la sélection de la case à cocher ci-dessus, Filtrage en fonction de la structure de page (DOM), permet de contrôler la durée de l'examen de façon satisfaisante.

Limite de profondeur de clic

AppScan n'examine pas les pages qui sont accessibles en cliquant sur un nombre de liens supérieur à la valeur indiquée.

Limite du total de pages

Si cette option est sélectionnée, AppScan n'accède pas à plus de pages que ce nombre maximal défini. Remarquez que chaque page peut contenir de nombreuses URL.

Autres paramètres

Codage

En général, AppScan détecte automatiquement la méthode de codage de l'application ; par conséquent, la fonction de détection automatique est sélectionnée par défaut.

Si le contenu des réponses figurant dans les résultats de l'examen semble erroné, cela peut signifier que la méthode de codage n'a pas été correctement identifiée. Pour résoudre ce problème, sélectionnez la méthode de codage appropriée dans la liste déroulante.

Agent d'utilisateur

L'en-tête agent d'utilisateur dans une requête HTTP indique au serveur quel type de client envoie la requête, ce qui peut affecter le contenu renvoyé par le serveur. Par exemple, certains contenus spécifiques aux téléphones mobiles ne sont envoyés que lorsque l'agent d'utilisateur est un navigateur de téléphone mobile. Pour qu'AppScan puisse tester ce type de contenu, vous devez le configurer pour qu'il envoie l'en-tête agent d'utilisateur approprié.

En général, AppScan détecte automatiquement l'agent d'utilisateur ; par conséquent, la fonction de détection automatique est sélectionnée par défaut. Cependant, si vous utilisez un navigateur différent du navigateur intégré, et si vous n'enregistrez pas de procédure de connexion, d'opération en plusieurs étapes ou d'exploration manuelle, AppScan ne peut pas détecter l'agent d'utilisateur automatiquement, et vous devez le sélectionner manuellement.

Pour modifier l'agent d'utilisateur, sélectionnez un agent dans la liste déroulante.

Pour entrer du contenu personnalisé, cliquez sur le bouton Editer et saisissez le contenu. A la fermeture de la boîte de dialogue, le nom du bouton devient Agent d'utilisateur personnalisé.

Pour plus de détails, voir En-tête agent d'utilisateur.