Téléchargement et déploiement d'un agent IAST sur un serveur Web

Vous devez télécharger et déployer un agent IAST sur le serveur Web de l'application testée pour surveiller le trafic envoyé pendant l'exécution et signaler les vulnérabilités découvertes.

Avant de commencer

  • Vous devez avoir installé l'application testée sur le serveur Web.
  • Vous devez avoir la fonction d'administrateur pour configurer un agent IAST sur le serveur d'applications.
  • Vous devez avoir créé une application dans l'onglet Portefeuille de la vue Surveillance de l'application AppScan Enterprise. Pour plus d'informations sur la création d'une application dans AppScan Enterprise, voir Création d'une application.

Pourquoi et quand exécuter cette tâche

Cette section vous aide à télécharger et à déployer un agent IAST sur le serveur Web de l'application testée.

Procédure

  1. Connectez-vous à l'application AppScan Enterprise Server.
  2. Accédez à la page Surveillance > onglet Portefeuille pour consulter la liste d'applications disponibles.
  3. Cliquez sur l'application dans laquelle vous souhaitez télécharger un agent IAST.
    La page de l'application s'affiche. Pour plus d'informations sur la création d'une application, voir Création d'une application
  4. Sur le panneau de gauche, cliquez sur les agents IAST.
    La page des agents IAST s'affiche dans le panneau de droite.
  5. Cliquez sur Créer un agent.
    La page Mise en route avec IAST s'affiche.
  6. Cliquez sur Créer un agent.
    La page de création d'un agent IAST s'affiche.
  7. Dans la liste déroulante Type d'agent, sélectionnez Java si l'application que vous testez est une application Java. Sinon, sélectionnez un langage approprié à l'aide duquel l'application testée est développée.
    Remarque : La fonction IAST ne prend en charge que les applications basées sur Java.
  8. Dans la zone Nom de l'agent, entrez un nom unique à donner à l'agent que vous créez pour l'application. Le nom de l'agent peut contenir des caractères alphanumériques et spéciaux d'une longueur maximale de 30 caractères.
  9. Cliquez sur Télécharger un agent. Le message Vérifiez votre dossier de téléchargement s’affiche et le fichier AppScanIASTAgent est téléchargé dans le dossier de téléchargement par défaut du système.
  10. Effectuez l'extraction du fichier AppScanIASTAgent dans un dossier.
  11. Copiez le fichier Secagent.war du dossier extrait du fichier AppScanIASTAgent sur le serveur Web de l'application testée.
  12. Interagissez avec l'application testée pour l'IAST afin de détecter les vulnérabilités.
    Remarque : Un examen IAST n'envoie pas ses propres demandes. Il ne peut découvrir des problèmes que si les demandes sont envoyées vers l'application testée via des tests de système, des explorations manuelles, un examen DAST, etc.
  13. Accédez à la vue de l'onglet de l'application et cliquez sur Tous les problèmes dans le panneau de gauche pour afficher la liste des problèmes liés aux vulnérabilités de sécurité détectées.
    Remarque : Vous pouvez utiliser le filtre Méthode de découverte=IAST pour n'afficher que les problèmes IAST dans l'application.

Résultats

L'agent IAST est déployé sur le serveur Web de l'application testée. Vous pouvez désormais afficher tous les problèmes détectés par les agents IAST dans la page de surveillance de l'application.