A propos de l'analyse dynamique (DAST)

Un examen ASoC dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.

Stage1 : Explorer

La phase d'exploration peut être exécutée automatiquement dans le cadre d'un examen automatique, manuellement par l'utilisateur ou une combinaison des deux.

Lors de la première phase, et à partir de l'URL que vous configurez, AppScan sur Cloud explore votre application en simulant un utilisateur Web qui clique sur des liens, remplit des champs de formulaire et acquiert une compréhension de la structure de l'application.

ASoC analyse les réponses à chaque requête d'exploration, en identifiant toute indication liée à une vulnérabilité potentielle. Lorsqu'ASoC reçoit une réponse pouvant indiquer une vulnérabilité de sécurité, il crée un ou plusieurs tests basés sur la réponse et note les règles de validation nécessaires pour déterminer quels résultats constituent la vulnérabilité ainsi que le niveau de risque de sécurité impliqué.

Avant d'envoyer les tests créés spécifiques au site, ASoC envoie plusieurs requêtes syntaxiquement incorrectes à l'application pour déterminer la manière dont elle génère des messages d'erreur. Ces informations sont ensuite utilisées pour améliorer la précision du processus de validation de test automatique d'ASoC.

Au cours d'un examen type, la phase d'exploration visant à détecter l'application s'exécute automatiquement. Vous pouvez cependant configurer ASoC pour explorer des parties spécifiques du site ou pour envoyer des requêtes dans un ordre spécifique, à l'aide de la fonction Explorer avec guide. Voir Explorer avec un guide.

Etape 2 : Test

Lors de la seconde phase, ASoC envoie les milliers de requêtes de test personnalisées créées pendant la phase d'exploration. Il enregistre et analyse la réponse de l'application pour chacun des tests à l'aide des règles de validation personnalisées. Ces règles identifient les problèmes de sécurité au sein de l'application et les classent selon leur niveau de risque pour la sécurité.

Phases de l'examen

En pratique, la phase de test révèle souvent de nouveaux liens au sein d'une application, et davantage de risques potentiels pour la sécurité. Cependant, une fois la première phase d'exploration et de test terminée, ASoC commence automatiquement une seconde phase afin de traiter les nouvelles informations. Si de nouveaux liens sont découverts pendant la deuxième phase, une troisième phase est exécutée, etc.

La détection de nouveaux liens lors de la phase de test déclenche un changement du nombre de tests attendus affichés lors de l'exécution. Une fois le nombre de phases d'examen configuré atteint, l'examen s'arrête et les résultats obtenus sont mis à la disposition de l'utilisateur.

Le nombre de phases par défaut est quatre. Cela ne peut pas être modifié dans ASoC, mais si un nombre différent est configuré dans un fichier de configuration chargé (DAST.CONFIG), ce nombre de phases sera utilisé.

Flux d'examens