Technologies prises en charge

Il est important de comprendre comment les technologies utilisées par votre site peuvent affecter la capacité d'examen du site par AppScan et d'identifier celles qui n'affectent pas du tout l'examen.

  • AppScan est un outil qui fonctionne comme une "boîte noire" (DAST) ; il examine votre site en utilisant les mêmes mécanismes qu'un navigateur. Ainsi, les technologies côté serveur qui sont transparentes pour un navigateur sont généralement transparentes pour AppScan, et n'affectent pas l'examen.
  • Les technologies côté client comme JavaScript et le protocole HTTP n'affectent pas AppScan. A la différence d'un navigateur, AppScan a besoin de comprendre ces technologies à un niveau qui autorise l'exploration automatique, la maintenance de session et le test. Dans pareil cas, vous devez configurer AppScan afin qu'il effectue les examens correctement.

Un examen AppScan consiste en deux étapes : l'exploration et le test. Pour chaque étape, le tableau propose des instructions permettant de déterminer les technologies côté serveur et côté client qui affectent l'examen, et dans quels cas il est nécessaire de procéder à une configuration.

Tableau 1. Technologies prises en charge
Technologies côté serveur Technologies côté client
Etape d'exploration

Les technologies côté serveur qui n'ont pas d'incidence sur le client, telles que la base de données spécifique utilisée, n'ont aucun effet sur l'examen.

De nombreux mécanismes qui affectent le client (comme la gestion de session) ne limitent pas l'examen si AppScan est correctement configuré. Par exemple, les serveurs Web et les serveurs d'applications ont une incidence sur la gestion des ID, auquel cas AppScan doit être configuré pour pouvoir en effectuer le suivi. De nombreux ID session courants sont prédéfinis ou peuvent être automatiquement détectés par AppScan ; ils ne requièrent pas de configuration supplémentaire. Cependant, certains mécanismes personnalisés peuvent nécessiter une configuration supplémentaire.

AppScan prend particulièrement en charge les URL personnalisées de WebSphere Portal. WebSphere Portal code les URL de manière à rendre leur suivi difficile lorsqu'elles s'affichent. AppScan décode les URL de sorte qu'elles peuvent être reconnues et optimisées.

L'examen glass box n'est pris en charge que pour Java et .NET.

Les deux principales technologies côté client utilisées aujourd'hui sont HTML5 et JavaScript. Elles ont toutes deux une incidence sur l'étape d'exploration de l'examen :

AppScan prend en charge HTML lors de l'étape d'exploration. Cela signifie que les liens peuvent être extraits, les formulaires détectés et remplis, etc.

AppScan prend en charge (exécute) le code JavaScript standard. Plusieurs infrastructures principales sont prises en charge, notamment JQuery, AngularJS et PrototypeJS. De nombreuses autres infrastructures JS ne sont pas prises en charge mais ne limitent l'examen en aucune façon.

Si des pages sont omises lors de l'étape d'exploration automatique suite à une technologie spécifique, elles peuvent être ajoutées à l'examen par l'exploration manuelle du site après l'étape d'exploration automatique, et avant l'étape de test.

Etape de test AppScan est conçu pour tester l'application et non les technologies prises en charge associées ; ces dernières n'ont pas d'incidence sur le test. Au niveau des bases de données, la suite d'AppScan fournit des tests d'injection SQL qui sont indépendants de la base de données utilisée. Elle offre également des tests spécifiques pour le test tiers (test Common Vulnerabilities).

Le test côté client s'effectue seulement sur le code JavaScript. Actuellement, seules les vulnérabilités JS en clair sont détectées.

Les infrastructures JS ne sont pas prises en charge ; il est possible que le code JS qui utilise une infrastructure ne soit pas correctement analysé.

HTML5 n'est pas entièrement pris en charge.