Foire aux questions

Certaines foires aux questions

Général

Quelles sont les limitations de l'abonnement à l'essai gratuit ?

Pourquoi mon examen a-t-il échoué ou son état est devenu "Examen en cours de revue" ?

Que se passe-t-il si l'examen échoue ?

Puis-je supprimer mon examen et continuer de bénéficier de la période de réexamen gratuit ?

Puis-je extraire les résultats d'un examen que j'ai supprimé ?

Puis-je extraire les résultats d'un examen précédent après avoir effectué un réexamen ?

Combien de temps dure un examen ?

Mon examen semble prendre beaucoup de temps. Peut-il être bloqué ?

Combien de temps conservez-vous mes examens dans votre base de données si je ne les supprime pas ?

Quelles adresses IP sont utilisées par ASoC ?

Examens mobiles

Quels sont les problèmes de sécurité testés dans les examens mobiles Android ?

Quels sont les problèmes de sécurité testés dans les examens mobiles iOS ?

Examens DAST

Quelle est la différence entre l'examen de transfert et l'examen de production pour les examens DAST ?

Quels sont les problèmes de sécurité testés dans les examens DAST ?

Optimisation du test : Si son examen est plus rapide, pourquoi ne puis-je pas l'utiliser ?

Optimisation du test : Puis-je m'attendre à ce que les résultats de deux examens optimisés effectués sur le même site soient identiques ?

Examens SAST

Quels sont les problèmes de sécurité testés dans les examens SAST ?

Qu'est-ce qu'un fichier IRX d'analyse statique et que contient-il ?

Quelles sont les limitations de l'abonnement à l'essai gratuit ?

L'essai gratuit de 30 jours est une excellente façon d'évaluer ASoC. Il vous permet d'exécuter tous les types d'examens ASoC (SAST, DAST et Mobile) sur votre site ou votre application, puis de consulter un récapitulatif des résultats. Les limitations suivantes s'appliquent :
  • Le récapitulatif répertorie tous les problèmes de sécurité détectés, mais sans leurs détails et leurs tâches de résolution suggérées. Ceux-ci sont inclus dans le rapport complet disponible en échange d'un abonnement payant.
  • Les rapports de réglementation ne sont pas disponibles.
  • Le téléchargement de fichiers de configuration ou d'examen AppScan Standard (SCAN, SCANT ou CONFIG) n'est pas activé.
  • Les résultats de l'examen SAST ne répertorient pas les bibliothèques à code source ouvert utilisées.
  • L'examen de site privé (examen de sites non disponibles sur Internet) n'est pas activé.
  • Un seul examen peut être exécuté à la fois.
  • Le nombre total d'examens est limité à cinq.
  • L'abonnement expire après 30 jours.

Pourquoi mon examen a-t-il échoué ou son état est devenu "Examen en cours de revue" ?

Si ASoC détecte que le processus automatisé peut produire des résultats loin d'être optimaux, le statut de l'examen passe à "Examen en cours de revue". Les paramètres seront analysés par notre équipe d'activateurs d'examen et peuvent être modifiés pour garantir les meilleurs résultats d'examen. Vous n'avez pas besoin d'intervenir et vous ne devez pas annuler l'examen, car cette action annulerait également la révision. Dès que les paramètres ont été analysés (généralement après quelques heures), l'examen reprend et se termine.
Raisons possibles justifiant l'échec ou l'analyse de votre examen :
  • Les identifiants de connexion ne sont pas valides.
  • La connexion requiert une troisième procédure de connexion ou une autre procédure de connexion inhabituelle.
  • La connexion utilise un mécanisme CAPTCHA (le mécanisme CAPTCHA n'est pas pris en charge ; si votre connexion utilise un mécanisme CAPTCHA, vous devez le désactiver pour l'examen)
  • Fichier d'application non valide
  • Les identifiants d'authentification HTTP ne sont pas valides ou manquants
  • Le serveur ne répond pas ou passerelle incorrecte (ASoC envoie trop de requêtes, de sorte que le site/l'application doit être stable et être en mesure de supporter un trafic intense)
  • Adresse IP bloquée (assurez-vous d'autoriser les adresses IP utilisées par ASoC)
  • Verrouillage du compte
  • Vérification manuelle requise pour les résultats
  • La stratégie de test que vous avez sélectionnée n'est pas adaptée à votre site/application
  • Examens de site privé : AppScan Presence inactive

Bien évidemment, si vous parvenez à éviter ces problèmes, votre examen s'effectuera probablement automatiquement et rapidement. Il est particulièrement important si vous intégrez l'examen ASoC dans un processus automatisé. La durée de l'examen sera donc aussi courte que possible.

Que se passe-t-il si l'examen échoue ?

  • Votre compte n'est pas chargé.
  • En cas de diagnostic de l'échec de l'examen, le système vous en fait part afin que vous puissiez remédier au problème.

Puis-je supprimer mon examen et continuer de bénéficier de la période de réexamen gratuit ?

Non. Si vous cliquez sur l'icône de la corbeille, l'option de réexamen est annulée et vous devez acheter un nouvel examen.

Puis-je extraire les résultats d'un examen que j'ai supprimé ?

Non, lorsque vous cliquez sur l'icône de la corbeille, les résultats sont supprimés de la base de données.

Puis-je extraire les résultats d'un examen précédent après avoir effectué un réexamen ?

Non. Lorsque vous réexaminez une application, les précédents résultats sont supprimés de la base de données.

Combien de temps dure un examen ?

Selon la complexité et la taille d'une application, il peut s'agir de quelques minutes à quelques jours. Vous pouvez choisir de recevoir un courrier électronique lorsque l'examen est terminé.

Mon examen semble prendre beaucoup de temps. Peut-il être bloqué ?

Le système de surveillance vérifie la progression de l'examen pour s'assurer que les examens qui ne progressent pas sont arrêtés. Si l'examen semble être toujours en cours d'exécution, il l'est probablement.

Combien de temps conservez-vous mes examens dans votre base de données si je ne les supprime pas ?

Les fichiers téléchargés par l'utilisateur (APK, IPA, IRX, SCAN et SCANT) sont mis en cache dans le service pendant maximum 60 jours à des fins de traitement des incidents. Les résultats de l'examen sont stockés en permanence dans le service, à moins que l'utilisateur ne les supprime ou que le compte utilisateur ne soit supprimé.

Quelles adresses IP sont utilisées par ASoC ?

Voir Configurations requises

Quels sont les problèmes de sécurité testés dans les examens mobiles Android ?

  • Détournement d'activité
  • Détournement de chargement de classe Android
  • Injection de fragment Android
  • Vol de retransmission
  • Dépassement de mémoire tampon
  • Injection SQL côté client
  • Vecteur d'initialisation constant
  • Mot de passe constant
  • Sel de cryptage constant
  • Clé secrète constante
  • Graine constante
  • Jeton constant
  • Panne au niveau du code Java™
  • Panne au niveau du code natif
  • Fuite de droits d'accès
  • Scriptage inter-applications
  • Scriptage intersite (XSS) via l'homme du milieu (MiTM)
  • Indicateur de débogage activé sur la version d'édition
  • Version de débogage détectée
  • Version SSL dépréciée prise en charge
  • Manipulation de fichier
  • Fuite d'information
  • Droits d'accès aux fichiers non sécurisés
  • Intention en suspens non sécurisée
  • Sérialisation non sécurisée
  • Sérialisation non sécurisée par cadre
  • Gestionnaire d'accréditation TLS/SSL non sécurisé
  • Gestionnaire de traitement TLS/SSL WebView non sécurisé
  • Absence d'épinglage de certificat
  • Hameçonnage via l'homme du milieu (MiTM)
  • Détournement de service
  • Usurpation de l'interface utilisateur
  • Reflet non sécurisé
  • Générateur de chiffre aléatoire faible

Quels sont les problèmes de sécurité testés dans les examens mobiles iOS ?

  • Vulnérabilité d'AFNetworking Framework
  • Importation de certificat client
  • Fuite de droits d'accès
  • Droits d'accès stockés en permanence
  • Scriptage intersite (XSS) via l'homme du milieu (MiTM)
  • Présence de symboles de débogage
  • Détournement de requête HTTP
  • Mise en cache HTTPS
  • Redirection HTTPS vers HTTP
  • Fuite d'informations
  • Application mise en arrière-plan de façon non sécurisée
  • Protection de données de la chaîne de certificats
  • Absence d'épinglage de certificat
  • Manque de validation des droits d'accès
  • Logiciel malveillant - XCodeGhost
  • Homme du milieu (MiTM)
  • Validation de nom de domaine manquante
  • Droits d'accès NSURL stockés en permanence
  • Vecteur d'initialisation constant Null
  • Utilisation de carton non sécurisée
  • Hameçonnage via l'homme du milieu (MiTM)
  • Protection PIE
  • Accès aux ressources confidentielles
  • L'application dans votre fichier IPA est au format binaire brut
  • Sécurité du transport - Validation de chaîne de certificat
  • Suites de chiffrement SSL faible prises en charge
  • Détection JailBreak faible
  • Générateur de chiffre aléatoire faible
  • Traitement de l'entité externe XML (XXE)

Quelle est la différence entre l'examen de transfert et l'examen de production pour les examens DAST ?

L'examen de production est conçu pour ne présenter qu'un faible risque pour la stabilité du site. Lorsque l'examen explore le site, aucun formulaire n'est envoyé et un faible taux de demande est utilisé.

Quels sont les problèmes de sécurité testés dans les examens DAST ?

  • Abus de fonctionnalité
  • Force brute
  • Dépassement de mémoire tampon
  • Usurpation de contenu
  • Prédiction des droits d'accès/session
  • Falsification de requêtes intersite
  • Attaque par script intersite
  • Refus de service
  • Indexation de répertoire
  • Chaîne de format
  • Fractionnement de réponse HTTP
  • Fuite d'informations
  • Indexation non sécurisée
  • Authentification insuffisante
  • Autorisation insuffisante
  • Expiration de session insuffisante
  • Protection de la couche transport insuffisante
  • Dépassements d'entier
  • Injection LDAP
  • Injection de commande de messagerie
  • Tests de contenu malveillant
  • Injection d'octet null
  • Injection de commandes OS
  • Traversée de répertoires
  • Emplacement de ressource prévisible
  • Inclusion RFI
  • Problème de configuration du serveur
  • Fixation de session
  • Abus de tableau SOAP
  • Injection SQL
  • Injection d'inclusion SSI
  • Abus de redirection d'URL
  • Agrandissement d'attribut XML
  • Expansion d'entité XML
  • Entités externes XML
  • Injection XML
  • Injection XPath
Remarque : bien que les mêmes problèmes soient testés pour les sites de transfert et de production, le test de production n'est pas aussi rigoureux que le test de transfert pour certains problèmes.

Optimisation du test : Si son examen est plus rapide, pourquoi ne puis-je pas l'utiliser ?

L'option Optimisation du test est parfaite quand vous avez besoin de résultats plus rapides, mais elle n'est pas aussi approfondie qu'un examen non optimisé. Nous vous recommandons les examens optimisés lorsque la vitesse est importante, mais que vous pouvez également les consolider avec des examens complets à intervalles réguliers.

Optimisation du test : Puis-je m'attendre à ce que les résultats de deux examens optimisés effectués sur le même site soient identiques ?

Puisque notre équipe analyse et met à jour constamment les paramètres, chaque mise à jour d'AppScan a amélioré les paramètres d'optimisation. Par conséquent, même si le site reste inchangé, les résultats peuvent ne pas être identiques. Néanmoins, il est peu probable qu'un test qui a décelé un problème dans l'ancien examen soit exclu du nouvel examen avec le même niveau d'optimisation.

Quels sont les problèmes de sécurité testés dans les examens SAST ?

  • AppDOS
  • Informations sensibles de mise en cache du navigateur
  • Informations sensibles d'affichage de commentaires
  • Problème de configuration
  • Scriptage intersite (XSS)
  • Manipulation de chaîne de connexion de base de données
  • Hameçonnage de courrier électronique
  • Altération de courrier électronique
  • Codage requis
  • Service Web exposé
  • Altération de fichier
  • Téléchargement de fichier
  • Fractionnement de demande HTTP
  • Fractionnement de réponse HTTP
  • Injection LDAP
  • Redirection ouverte
  • Injection de commandes du système d'exploitation
  • Problème de logique professionnelle potentielle de la traversée de répertoires (couvre aussi la référence non sécurisée à un objet direct)
  • Escalade des droits d'accès
  • Injection d'expression régulière
  • Supprimer le code de test
  • Injection de second ordre
  • Exposition des données sensibles
  • Données sensibles stockées dans des journaux
  • Informations sensibles révélées dans un message d'erreur
  • Valeur de délai de gestion de la session trop long
  • Injection SQL
  • Communications non chiffrées
  • Altération d'URL
  • Utilisation du générateur de chiffre aléatoire non sécurisé au niveau cryptographique
  • Utilisation de zones masquées
  • Utilisation d'algorithme de cryptographie non sécurisé
  • Utilisation de code natif non sécurisé
  • Contrôle d'accès faible
  • Authentification faible
  • Injection XML
  • Injection XPath
  • Injection XSLT

Qu'est-ce qu'un fichier IRX d'analyse statique et que contient-il ?

IRX est un fichier zip chiffré contenant les informations nécessaires à l'exécution d'une analyse statique complète de votre programme. Il est chiffré au repos dès la création, ainsi que lors du transport vers le cloud (sur SSL).

En interne, une archive IRX contient ces fichiers et artefacts :

  • Une représentation propriétaire et masquée de vos artefacts de programme déployables, conçue à partir de votre code source déployé (par exemple bytecode Java ou .Net MSIL). Pour savoir quels langages sont pris en charge pour les examens d'analyse statique, voir Configuration requise par le système pour l'analyse statique).
  • Tout fichier de script d'exécution déployé avec votre programme pouvant être analysé en vue de rechercher les vulnérabilités de sécurité, tels les fichiers .js (JavaScript) ou .rb (Ruby).
  • Fichiers de configuration Static Analyzer qui décrivent l'application ou la hiérarchie de projets ainsi que les relations ou les dépendances de votre programme. Cela permet de réaliser une analyse de sécurité précise et complète à travers les limites du projet au sein de votre application.
  • Fichiers journaux Static Analyzer générés lors de la création de l'archive (pour les diagnostics et le support).