Utilisation du serveur proxy

Vous pouvez utiliser le serveur proxy de l'instance AppScan Presence pour enregistrer le trafic, l'enregistrer en tant que fichier CONFIG et l'importer afin d'exécuter un examen ASoC. En option, vous pouvez chiffrer ce fichier, comme expliqué dans la sous-section suivant la procédure ci-dessous.

Procédure

  1. Pour consulter la documentation d'API REST, saisissez ce qui suit dans un navigateur :
    http://localhost:<port>
    Pour l'afficher sur une autre machine, saisissez :
    http://<IP>:<port>
    port
    le port sur lequel le serveur proxy écoute
    IP
    l'adresse IP de la machine sur laquelle le serveur proxy est installé
  2. Si le site est protégé (HTTPS), vous pouvez éviter les avertissements SSL comme suit :
    1. Utilisez l'API REST pour télécharger l'autorité de certification racine autosignée utilisée par le serveur proxy AppScan en tant que fichier PEM.
    2. Installez le certificat sur le navigateur utilisé pour l'exploration ou à tout emplacement requis (en fonction de l'origine du trafic).
    Pour plus d'informations, voir Configurer le certificat racine ci-dessous.
  3. Pour démarrer un proxy, utilisez la requête API REST : StartProxy, puis définissez le port d'enregistrement (vers lequel vous souhaitez envoyer le trafic).
    Remarque : si le serveur proxy ne dispose pas d'un accès direct au site, vous pouvez également définir un proxy (chaîné) en amont avec cet API REST.
    Remarque : Si vous devez définir plusieurs proxys chaînés ou des exceptions sur le proxy, utilisez le fichier de règles de proxy chaîné (proxy.chain) qui se trouve dans le dossier d'installation.
    Remarque : Si le trafic n'est pas chiffré (voir la sous-section ci-dessous), vous pouvez chiffrer le fichier de trafic (DAST.CONFIG) pour un enregistrement individuel en utilisant :
    Query param Example:
    /StartProxy/<recordingPort>?encrypted=true
  4. Envoyez votre trafic via le port d'enregistrement défini.
  5. Lorsque vous avez terminé, envoyez la demande API REST : StopProxy (notez que StopProxy/0 n'est pas autorisé).
  6. Téléchargez le fichier de trafic enregistré en envoyant la demande API REST : Trafic
    Le fichier de trafic possède une extension .dast.config.
    Remarque : lorsque vous téléchargez le fichier de trafic, les données de trafic sont supprimées du serveur proxy.

    Vous pouvez utiliser le fichier DAST.CONFIG pour mettre à jour les données d'exploration d'un travail existant, à l'aide de l'API REST d'ASoC. Vous pouvez

Chiffrer le fichier DAST.CONFIG

Vous pouvez utiliser l'API REST du serveur proxy pour charger un fichier DAST.CONFIG à chiffrer, puis télécharger le fichier chiffré.
  • Pour charger votre fichier afin de le charger, utilisez : "EncryptDastConfig"
  • Pour télécharger le fichier chiffré, utilisez : DownloadEncryptedDastConfig
Pour plus de détails, voir Commandes du serveur proxy (API REST).

Chiffrer tout le trafic

Par défaut, les fichiers de trafic (DAST.CONFIG) ne sont pas chiffrés. Pour configurer le serveur afin de chiffrer tout le trafic, modifiez la clé "encryptDastConfig" dans le fichier Settings.json, qui se trouve dans le dossier d'installation, en true.

Dépassement du délai d'inactivité

Si une instance de proxy n'est pas fermée après utilisation à l'aide de la commande correspondante, elle reste ouverte et en mode écoute sur le port. Les instances de proxy sont automatiquement fermées si elles restent inactives pendant une durée prédéfinie. Le délai d'inactivité par défaut pour les instances de proxy est de 60 minutes. Vous pouvez modifier cette valeur dans le fichier Settings.json, enregistré dans le dossier d'installation.
Important : Ne modifiez aucun autre paramètre dans ce fichier.

Configurer le certificat racine

Si votre application utilise le protocole SSL (HTTPS), le proxy doit agir comme intermédiaire pour l'enregistrement du trafic. Pour cela, le serveur proxy doit disposer d'un certificat racine qu'il peut utiliser pour signer ses communications avec l'application.
Par défaut, le serveur proxy génère un certificat racine unique, sans que l'intervention de l'utilisateur ne soit requise. Cependant, vous obtiendrez des avertissements SSL lorsque vous parcourrez l'application. Vous pouvez effectuer l'une des opérations suivantes :
  1. Ignorer les avertissements
  2. Installer le certificat généré par le proxy sur votre ou vos machines :
    1. Utilisez l'API REST pour télécharger l'autorité de certification racine autosignée utilisée par le serveur proxy AppScan en tant que fichier PEM.
    2. Installez le certificat sur le navigateur utilisé pour l'exploration ou à tout emplacement requis (en fonction de l'origine du trafic).
  3. Importer votre propre certificat racine sur le serveur proxy. Les formats de certificats pris en charge sont PKCS12 (.P12, .PFX) et JKS :
    1. ouvrez une fenêtre de ligne de commande et accédez au dossier d'installation sur le serveur proxy.
    2. Exécutez la commande suivante :
      .\Java\jre\bin\java -jar DastProxy.jar -irc [path to certificate file] -ircp [password]
    Remarque : Pour afficher la syntaxe de commande complète, exécutez :
     .\Java\jre\bin\java -jar DastProxy.jar
Important : Il est recommandé d'utiliser un certificat test dédié, dans la mesure où le certificat est enregistré sur le serveur proxy.
Remarque : Le script de démonstration pour ce flux de travaux, ProxyServerDemoScript.py, est disponible dans le dossier d'installation d'AppScan.