Dans les environnements de test d'assurance qualité d'applications Web, des milliers de cas de test automatisé des interactions de navigateur sont souvent exécutés en utilisant plusieurs instances de navigateur sur des serveurs répartis. Avec le serveur d'exploration manuelle AppScan®, vous pouvez enregistrer le trafic qui est généré par ces tâches automatisées pour des tests de sécurité.
Pourquoi et quand exécuter cette tâche
Cette procédure permet d'utiliser le trafic HTTP qui est généré par les scripts utilisés pour les tests fonctionnels et d'éviter le travail supplémentaire requis pour enregistrer les scripts AppScan. Vous pouvez configurer autant de serveurs d'exploration manuelle que nécessaire dans votre organisation, puis utiliser une API REST pour automatiser l'enregistrement des données transitant des scénarios de test vers un serveur de test et envoyer automatiquement les données dans un fichier *.htd à AppScan Enterprise afin qu'elles soient configurées comme un examen. Dans ce scénario, vous allez télécharger l'outil d'exploration manuelle et configurer un serveur d'exploration manuelle à l'aide d'une interface de ligne de commande.
Remarque :
- La taille maximale du fichier *.htd est 20 Mo. Si vous dépassez cette limite, scindez le fichier en blocs de moindre taille en enregistrant de petites séquences.
- Pour vous faciliter la tâche, voici un script qui permet d'automatiser la capture du trafic HTTP et d'automatiser la création de travaux d'examen afin d'utiliser le trafic HTTP capturé : recordTraffic.zip. (Si le fichier n'est pas téléchargé, cliquez avec le bouton droit de la souris sur le lien et enregistrez le fichier sur votre disque dur.)
Procédure
- Téléchargez l'outil d'exploration manuelle et configurez le serveur d'exploration manuelle :
- Dans la section Exploration manuelle de la page Objets de l'examen du travail, cliquez sur l'icône Ajouter (
).
- Dans la page Exploration manuelle, sélectionnez Utiliser l'outil d'exploration manuelle ou le fichier de données d'exploration AppScan Standard.
- Téléchargez et installez l'outil.
En général, cet outil s'installe à l'emplacement suivant <install-dir>\HCL\AppScan Manual Explorer.
- Exécutez une invite de ligne de commande sur le serveur, placez-vous dans le répertoire <install-dir>\HCL\AppScan Manual Explorer, puis entrez la ligne suivante : manualexploreserver.exe -host <ip_nom_hôte> -recordingsDir <rép_enregistrements>.
Conseil : Utilisez l'indicateur -help pour afficher l'ensemble des options de ligne de commande disponibles.
- Pour démarrer une session d'enregistrement sur un port de votre choix :
- Dans un navigateur, accédez à http://<host_name_ip>:9999/start?port=<recordingPort>. Le numéro du port d'enregistrement correspond à l'ID de l'enregistrement.
Par exemple, http://myVM:9999/start?port=1111. "1111" correspond à l'ID de la session d'enregistrement.
Remarque : Assurez-vous que le navigateur qui émet les commandes de contrôle n'utilise pas le serveur d'exploration manuelle comme un proxy, sinon les commandes de contrôle seront ajoutées à l'enregistrement.
- Définissez votre automatisation ou le navigateur utilisé pour la lecture de sorte que <ip_nom_hôte>:<portenregistrement> soit utilisé comme un proxy.
- Exécutez l'automatisation contenant vos cas de test d'assurance qualité.
Remarque : Vous pouvez configurer les étapes a et b au cours du processus d'automatisation.
- Pour arrêter une session d'enregistrement :
- Lorsque vos cas de test automatisé sont terminés, arrêtez l'enregistrement de l'explorateur manuel en entrant cette adresse URL dans le navigateur : http://<host_name_ip>:9999/stop?port=<recordingPort>&fileName=<recordingDataFile>. Lorsque vous spécifiez l'argument fileName, les données qui sont collectées pendant l'enregistrement sont sauvegardées au format HTD. Le chemin d'accès est <recordings_dir>\<recordingDataFile>.htd. Si vous n'utilisez pas un nom de fichier, l'enregistrement s'arrête sans sauvegarder de fichier.
- Une fois la capture des données de trafic terminées, entrez quit pour terminer le processus.
- Dans AppScan Enterprise, assurez-vous d'avoir effectué les opérations suivantes :
- Configurez la notification par courrier électronique. Vérifiez que le serveur SMTP pour la messagerie électronique est configuré. Consultez la rubrique Configuration d'Enterprise Console et assurez-vous d'avoir configuré vos notifications par courrier électronique personnelles afin de recevoir des alertes. Voir Configurer les paramètres utilisateur.
- Créez un examen pour tester uniquement les adresses URL spécifiées dans le modèle Exploration manuelle (dans la page Options d'exploration).
- Définissez des alertes pour le rapport Problèmes de sécurité pour le groupe de rapports qui est généré par le script automatisé. Voir Ajout d'une alerte à un groupe de rapports.
- Notez l'ID de dossier pour le travail que vous venez de créer à partir de l'adresse URL. Par exemple : https://<servername>/ase/FolderExplorer.aspx?fid=8)
- L'utilitaire ASECMD est stocké dans le dossier dans lequel se trouve la ligne de commande ManualExploreServer. Il facilite la construction d'une commande qui publie le fichier de trafic enregistré dans AppScan Enterprise à l'aide du modèle qui a été créé à l'étape 4. L'examen est créé dans le dossier dans lequel vous avez créé le travail d'examen à l'étape 4.
- Ouvrez l'invite de ligne de commande et accédez au dossier dans lequel se trouve l'outil d'exploration manuelle AppScan.
- Entrez la commande suivante pour créer un examen : ASECMD -aseUrl https://<ase_server_name>/ase/ -jobTemplateId 1 -htdFile \\qaserver\recordings\rec1.htd
Remarque : Si vous ne spécifiez pas de nom d'utilisateur et de mot de passe, l'utilitaire de ligne de commande utilise votre compte utilisateur courant pour l'authentification.
- Facultatif : Pour afficher les invites de ligne de commande disponibles de l'utilitaire ASECMD, ouvrez l'invite de ligne de commande et appelez asecmd.exe. Les détails de la syntaxe s'affichent dans la fenêtre.
- Affichez les résultats dans la console Enterprise Console d'AppScan Enterprise Server.
