Configuration d'un examen de sécurité à l'aide des propriétés d'analyse d'AppScan Enterprise

Les examens de sécurité doivent être exécutés dans un environnement de préproduction, tel qu'un serveur de transfert ou d'assurance qualité. Cette approche permet de limiter les risques associés à l'exécution d'examens de sécurité. Votre environnement de préproduction doit refléter l'environnement de production autant qu'il est possible ; l'application doit avoir les mêmes fichiers exécutables dans les deux environnements de façon à pouvoir tester l'application de façon approfondie. Les examens de sécurité doivent également être intégrés à votre processus SDLC (Software Development Life cycle) de façon à pouvoir isoler les problèmes de sécurité avant qu'ils n'atteignent votre environnement de production.

Examen de flux de travail ASECliquez sur cette case pour obtenir des informations sur la création d'un inventaire d'applicationsDétermination du risqueCliquez sur cette case pour obtenir des informations sur le triage des problèmesCliquez sur cette case pour obtenir des informations sur l'évaluation des risqués liés à l'activité

Avant de commencer

  1. Vérifiez que l'application se trouve dans un environnement de développement ou de test.
  2. Etablissez une fenêtre de temps avec les propriétaires de l'application (développeurs ou assurance qualité) pour l'examen de l'application. Cette dernière doit être active, en cours d'exécution et stable pendant la période d'examen avec AppScan® Enterprise Server. Aucune modification ne doit normalement être apportée à l'application au cours de l'examen.
  3. Décidez tout de suite si vous voulez effectuer une exploration manuelle ou un balayage automatique :
    • Une exploration manuelle signifie que vous indiquez les adresses URL exactes pour l'examen à tester dans la configuration (l'examen n'effectuera pas d'exploration automatique pour détecter de nouvelles adresses URL). Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
    • Un balayage automatique signifie que vous configurez l'examen pour qu'il détecte automatiquement davantage d'adresses URL à tester dans votre application Web. Utilisez cette méthode pour une application comportant un grand nombre de liens statiques et ne requérant pas une interaction utilisateur intensive.

Procédure

  1. Dans la page Objet de l'examen, entrez l'URL de départ de l'application et cliquez sur Ajouter. Notez la colonne "Etat" lorsque vous ajoutez l'URL de départ. Si une coche verte apparaît, cela signifie qu'AppScan Enterprise Server peut accéder à l'application Web. Si un avertissement apparaît, cela peut indiquer qu'il est nécessaire d'entrer les paramètres de proxy ou des données d'authentification supplémentaires pour qu'AppScan Enterprise Server puisse accéder à l'application Web. Cliquez sur Retester.
  2. Si l'application Web doit spécifier des paramètres de proxy ou des données d'authentification supplémentaires, accédez à la page Connexions dans les propriétés du travail, sélectionnez Proxy > Utiliser des paramètres de proxy personnalisés et entrez les paramètres du proxy.
  3. Si l'application Web requiert une Authentification de la plateforme supplémentaire, sélectionnez Examiner les pages qui requièrent une authentification dans la section Authentification de la plateforme et entrez le nom d'utilisateur et le mot de passe ou sélectionnez plutôt l'option de compte de service.
  4. Si votre application Web contient une connexion HTML, accédez à la page Gestion de connexion pour enregistrer la connexion. Cliquez sur Enregistrée > Enregistrer la connexion.
    1. L'application Web est lancée dans un navigateur d'enregistrement. Simulez votre connexion et fermez la fenêtre du navigateur.
    2. Une fois la connexion enregistrée et la fenêtre en incrustation fermée, les adresses URL que vous détectez au cours de la connexion sont répertoriées dans la page Adresses URL de la séquence de connexion. Pour sauvegarder la séquence, cliquez sur Sauvegarder. Les adresses URL doivent être répertoriées dans la page Gestion de connexion.
    3. Sélectionnez une adresse URL dans la liste, puis cliquez sur l'icône Afficher la requête HTTP (Afficher la requête HTTP).
      Remarque : Vous pouvez ainsi visualiser la requête HTTP complète qui a été enregistrée pour cette adresse URL. Recherchez les cookies qui ont été envoyés dans la requête HTTP. Ceux-ci sont identifiés à la ligne "Cookie". Pour que les tests de sécurité aboutissent au cours de l'examen, tous les cookies de session utilisés par l'application Web doivent être identifiés. En recherchant cette ligne dans la demande HTTP de connexion enregistrée, vous découvrez les noms des cookies de session de l'application Web. Tous les cookies sur cette ligne ne sont pas obligatoirement des cookies de session. Vous pouvez être amené à demander conseil auprès des développeurs de l'application Web. Les cookies de session contiennent généralement "session" ou "id", mais pas toujours. Par défaut, AppScan Enterprise identifie automatiquement un grand nombre de noms de cookie de session.
  5. Si vous avez identifié des noms de cookie de session manqués par AppScan Enterprise, vous devez configurer les noms de cookie de session dans l'examen. Vous pouvez ajouter un cookie manqué par AppScan Enterprise de deux manières. Accédez à la page des paramètres et des cookies :
    1. Sélectionnez les cookies ou les paramètres à suivre et cliquez sur le bouton "Suivre" dans la page de modifications des paramètres et des cookies.
    2. Cliquez sur Ajouter (icône ). Pour Type, sélectionnez "Cookie". Vous pouvez entrer un nom complet ou une expression régulière comme nom. Sélectionnez ID session : Suivre ce paramètre lors de l'examen. AppScan Enterprise Server assure le suivi de ce cookie de session et, le cas échéant, met à jour la valeur au cours de l'examen. Cliquez sur Terminé.
  6. Si des formulaires supplémentaires doivent être remplis pour configurer l'examen, accédez à la page Objet de l'examen. Dans la section Exploration manuelle, cliquez sur Ajouter un élément existant (Ajouter des éléments existants) pour lancer l'exploration manuelle. Cette dernière permet également de sélectionner manuellement les adresses URL si vous voulez restreindre l'examen à une exploration manuelle. L'application Web est lancée dans une fenêtre de navigateur séparée. Simulez la navigation manuelle ou le remplissage de formulaire dans cette fenêtre. Fermez ensuite cette dernière et sauvegardez les résultats de formulaire.
    Remarque : L'exploration manuelle permet d'effectuer les opérations suivantes :
    • Enregistrer toute fonctionnalité supplémentaire non mise en œuvre par le moteur de balayage automatique d'AppScan Enterprise Server, comme le remplissage de formulaire ou l'interaction utilisateur
    • Restreindre l'examen aux seules adresses URL et fonctionnalité que vous avez enregistrées et ne pas effectuer de balayage automatique dans AppScan Enterprise Server
  7. Dans la page Objet de l'examen, faites défiler l'écran jusqu'à la liste Serveurs et domaines supplémentaires. Consultez cette liste et si celle-ci contient des domaines ne devant pas être explorés par le moteur de balayage automatique au cours de l'examen, supprimez-les.
    Remarque : Si des domaines ne sont pas inclus dans le groupe de serveurs associé à votre stratégie de test, ces domaines ne sont pas testés. Cliquez sur Afficher les détails de la stratégie de test dans la page Sécurité pour voir les groupes de serveurs et les adresses URL ou les adresses IP qui sont applicables à la stratégie de test choisie. Il n'y est pas précisé que les adresses URL non autorisées ne sont pas testées mais ces domaines ne comportent pas de résultats dans les rapports basés sur ce travail. Vérifiez que les adresses URL de départ sont incluses dans les groupes de serveurs associés à la stratégie de tests que vous avez choisie.
  8. Dans la page de sécurité, entrez les options de test de sécurité :
    • Laissez la case à cocher Analyseur JavaScript sélectionnée si vous souhaitez effectuer une analyse JavaScript™ statique pour détecter une série de problèmes côté client, principalement le scriptage intersite basé sur DOM. Voir Fonctionnement de l'analyse du code source JavaScript.
    • Si vous examinez une application Web qui verrouille un utilisateur après l'échec de plusieurs tentatives de connexion, désélectionnez la case Inclure les tests des pages de connexion et de déconnexion. Cela permet d'éviter le verrouillage d'AppScan Enterprise Server au cours de l'examen.
    • Sélectionnez une stratégie de test de la sécurité.
      Remarque : Vous ne pouvez choisir que les tests basés sur la ou les stratégies de test qui vous ont été attribuées par l'administrateur du produit. Si vous n'avez pas créé ce travail, il ne peut exécuter que les tests qui sont associés à l'administrateur de travaux qui l'a créé. Vous pouvez cependant modifier les stratégies de test à votre disposition et les tests réalisables en assumant la propriété de ce travail.
  9. Accédez à la page Options d'exploration :
    1. Pour que l'examen s'effectue de manière automatique et détecte des adresses URL supplémentaires, sélectionnez Ne pas limiter le nombre de pages.
    2. Pour que l'examen explore et teste uniquement votre connexion enregistrée et votre exploration manuelle, sélectionnez Nombre maximal d'adresses URL spécifiées.
    3. Si vous effectuez un balayage automatique et que votre application Web utilise JavaScript pour générer dynamiquement des adresses URL, sélectionnez Exécuter le code JavaScript pour reconnaître les adresses URL et le contenu dynamique.
  10. Pour sauvegarder vos options et quitter les propriétés du travail, cliquez sur Sauvegarder.