Créer un examen à partir d'un modèle de fichier

Vous pouvez charger votre propre modèle de fichier AppScan Standard (SCANT) pour exécuter un examen ASoC.

Avant de commencer

Sauvegardez votre site avant de l'examiner.
Si vous ne l'avez pas encore fait, créez une application pour vos examens.
Vérifiez auprès de ASoC que vous êtes autorisé à analyser le domaine (voir Vérification d'un domaine)
Si votre site n'est pas disponible en ligne et que AppScan Presence n'existe pas encore sur le serveur : Création de l'instance AppScan Presence.
En cas d'examen d'un site de production en direct, consultez d'abord à la section Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ?

Procédure

Sur la page Application, cliquez sur Créer un examen pour ouvrir l'assistant, puis sélectionnez DAST > Charger un modèle de fichier.
Envoyer le fichier par téléchargement : glissez et déposez le modèle de fichier (SCANT) dans la boîte de dialogue ou cliquez pour sélectionner le fichier.
Remarque : Activez l'option « Autoriser l'intervention » lors de la création de l'examen pour permettre à l'équipe d'activation des examens de se pencher sur l'examen en cas d'échec. Par défaut, l'intervention est désactivée pour les examens ou modèles téléchargés.
Le fichier est ouvert et l'adresse URL de départ de la configuration est renseignée dans le champ URL.
Si votre fichier inclut des données d'exploration, vous avez la possibilité d'exécuter l'étape de test uniquement ou un examen complet (étapes d'exploration et de test) :
- Exécuter un examen intégral, ou
- Exécuter l'étape de test uniquement

Explorer:


Paramètre	Options
Remplissage automatique de formulaires	ASoC utilise les valeurs par défaut des paramètres de remplissage de formulaire AppScan Standard pour remplir et soumettre des formulaires sur le site. Important : Si vous examinez un site de production en direct, nous vous recommandons de désactiver cette fonction. Pour plus d'informations, reportez-vous à Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ? Remarque : Si vous désactivez le remplissage et l'examen automatiques des formulaires AppScan sur Cloud, toutes les informations renseignées dans les formulaires seront supprimées, à l'exception des données de gestion de connexion. AppScan ne remplit pas les formulaires automatiquement pendant le balayage. Lorsque vous importez cet examen dans AppScan Standard, le remplissage automatique du formulaire est activé, mais les données de remplissage du formulaire, à l'exception de la gestion des connexions, sont vides.
Type	Explorer automatiquement AppScan explore automatiquement l'application Web, à partir de l'URL de départ, afin de détecter les pages qu'il testera. Cette option n'est pas pertinente pour les API Web. Privilégiez l'option suivante. Explorer avec guide Chargez votre propre phase d'exploration enregistrée pour qu'AppScan la teste. Vous pouvez l'utiliser seule ou en plus d'une phase d'exploration automatique. Pour plus d'informations sur les deux types d'exploration, consultez A propos de l'analyse dynamique (DAST)
Explorer avec guide	Cette section est uniquement active si vous avez sélectionné Explorer avec guide.
Charger l'enregistrement	Chargez un ou plusieurs fichiers de trafic `DAST.CONFIG`. Pour plus d'informations sur cet enregistrement, voir Enregistrement du trafic. Pour les API Web, la meilleure option est généralement le HCL AppScan Traffic Recorder.
Paramètres de fichier	Si les requêtes de votre fichier de trafic doivent être envoyées dans l'ordre spécifique que vous avez enregistré, activez Plusieurs étapes. Cette méthode augmente considérablement la durée de l'examen et dès lors, ne l'utilisez qu'en cas de nécessité. Pour comprendre la différence entre Plusieurs étapes et Explorer avec guide, reportez-vous à Explorer avec un guide. Pour activer Plusieurs étapes : Pour chaque enregistrement chargé, cliquez sur le nom de fichier et basculez l'option Activer plusieurs étapes sur Activé.
Comment utiliser l'enregistrement	Utiliser l'exploration enregistrée en plus d'une étape d'exploration totalement automatique et tout tester ASoC exécute sa propre phase d'exploration pour découvrir l'application et la teste en fonction de ces résultats et du fichier de trafic que vous avez chargé. Cette option n'est pas pertinente pour les API Web. Privilégiez l'option suivante. Ne tester et n'analyser que l'exploration enregistrée ASoC traite le fichier chargé comme la phase d'exploration pour l'examen. Il analyse et crée des tests pour le trafic enregistré uniquement, puis les teste. Il n'y aura pas de phase d'exploration automatique.

Réseau :


Paramètre	Options
Type	Public (par défaut) Votre site est disponible sur Internet. Privé Votre site n'est pas disponible sur Internet. Sélectionnez votre instance Presence dans la liste des instances Presence connectées. Remarque : Si vous n'avez pas encore créé de une instance AppScan Presence, vous pouvez le faire maintenant en cliquant sur le lien de la page une instance AppScan Presence Presences et en faisant référence à Création de l'instance AppScan Presence.

Planification :


Paramètre	Options
Examiner maintenant	Votre examen s'exécute une fois la configuration et la révision terminées.
Enregistrer pour plus tard	Votre configuration est enregistrée une fois terminée. Vous pouvez exécuter l'examen ultérieurement.
Planifier	Votre configuration est enregistrée et un ou plusieurs examens s'exécutent comme configuré : Sélectionnez une date et une heure. Saisissez-les en fonction du fuseau horaire configuré sur votre ordinateur, mais notez que les heures seront converties en UTC lorsqu'elles seront affichées dans l'interface utilisateur. Pour exécuter l'examen plusieurs fois, sélectionnez Répéter, puis choisissez : Tous les jours et sélectionnez un intervalle quotidien (de 1 à 30 jours) Toutes les semaines, et sélectionnez le jour, ou Tous les mois, sélectionnez un intervalle mensuel, puis sélectionnez le jour numérique du mois ou le jour de la semaine du mois (premier, deuxième, troisième, quatrième, dernier). Remarque : Si le nombre maximal d'examens simultanés est en cours d'exécution à heure planifiée, l'examen démarre dès que votre abonnement le permet. Définissez la date de fin (date de dernière exécution d'un examen) ou cliquez sur Supprimer la date de fin pour que le planning s'exécute indéfiniment.

Cliquez sur Vérifier et examine.
Lors de la révision, vous pouvez modifier le nom par défaut qui a été donné à l'examen. Vous pouvez également choisir d'exécuter l'examen en tant qu'examen personnel et de recevoir une notification par e-mail lorsque l'examen est terminé.
Cliquez sur Lancer l'examen maintenant.
Cliquez sur Examen.

Résultats

Le nouvel examen est ajouté à la vue Examens avec son heure de démarrage, et une barre de progression indique que l'examen est en cours d'exécution. Une fois l'examen terminé, la barre de progression se ferme, les résultats sont résumés dans un graphique et (si l'option est sélectionnée), vous recevez une notification par courrier électronique. Voir Résultats.

Remarque : Les examens de plan gratuit ont une durée limitée de quatre heures. Dès lors, il se peut qu'ils ne couvrent pas de sites volumineux ou complexes.