Meilleures pratiques pour l'examen de contenu

Déterminez les technologies utilisées par l'application que le travail de contenu va examiner et reportez-vous aux meilleures pratiques suivantes pour chaque type.

Utilisez un compte utilisateur de test

Utilisez un compte de test afin d'assurer un suivi et de vérifier que les services ne sont pas réellement commandés. Ce compte peut en outre être réinitialisé en cas de corruption. Pour les administrateurs, un compte de test simplifie par ailleurs le nettoyage du site après le test. Prenez en compte les facteurs suivants pour les comptes de test :

  • Il doit uniquement avoir accès aux enregistrements de test dans la base de données, afin que les enregistrements modifiés puissent être restaurés.
  • Supprimez les nouveaux enregistrements créés par le compte de test.
  • Ignorez les ordres d'achat ou autres transactions provenant du compte de test.
  • Si le site comporte des forums, le compte de test doit uniquement accéder à des forums de test. Les clients véritables ne doivent pas voir les tests pendant la phase de tests. Voir, par exemple, une fenêtre en incrustation contenant du script intersite pourrait être inquiétant.
  • Utilisez plus d'un compte de test si le site utilise différents privilèges pour différents comptes. L'utilisation de plusieurs comptes de test assure un test plus complet de l'application.

Adresses URL de départ

Indiquez si vous voulez effectuer l'examen au-dessus du répertoire figurant dans l'adresse URL de départ. Par exemple, vous avez l'adresse URL de départ www.exemple.com/clients/defaut.aspx et vous avez sélectionné la case à cocher Dans les domaines de départ, n'examiner que les liens situés dans et sous le répertoire de chaque adresse URL de départ. Dans cette situation, le travail ne peut pas examiner le lien www.exemple.com/partenaires parce qu'il ne figure pas à l'intérieur du répertoire clients. Pour examiner le répertoire partenaires, vous devez désélectionner la case.

La case Dans les domaines de départ, n'examiner que les liens situés dans et sous le répertoire de chaque adresse URL de départ est sélectionnée par défaut.

La stratégie de test de sécurité et son groupe de serveurs sélectionnés dans la page Sécurité du travail doivent correspondre aux adresses URL de départ. Si les adresses URL ou IP que votre groupe de serveurs permet d'examiner ne figurent pas dans les adresses URL de départ, elles ne seront pas testées par rapport aux problèmes de sécurité.

Il est courant de limiter chaque travail d'examen à un site. Cette pratique fournit une meilleure génération de rapports pour la direction au niveau des tableaux de bord et reflète généralement mieux les différents métiers ou zones de responsabilité au sein de l'entreprise. Le mécanisme de génération de rapports vous permet d'agréger les données provenant de différents travaux selon vos préférences.

Domaines additionnels

Déterminez s'il existe des domaines, en dehors des adresses URL de départ, comportant du contenu que vous souhaitez également faire vérifier. Si vous estimez, après un premier examen, que le contenu examiné est insuffisant, vérifiez le rapport Architecture de site Web pour voir s'il existe des domaines additionnels que vous pourriez ajouter à l'examen. Utilisez la page Objet de l'examen pour ajouter des domaines additionnels.

Exclure des cookies et des paramètres

Spécifiez des cookies et des paramètres exclus pour ne compter qu'une instance d'une page pouvant changer à chaque fois qu'une valeur de chaîne de requête change (données POST ou cookie). Par exemple, l'adresse URL vers une page pourrait avoir un paramètre appelé "navmenuhide=". La valeur du paramètre détermine si le menu de navigation doit être masqué ou affiché dans la page. Ce paramètre peut prendre la valeur 0 ou 1. Si vous souhaitez uniquement examiner une version de cette page, insérez "navmenuhide=" dans Exclusions de paramètres et de cookies dans la page Paramètres et cookies du travail. Cette méthode peut être utile pour limiter la portée des examens afin d'exclure le contenu en double lorsque les pages ne présentent que des différences minimes.

Adresses URL statiques

Si les adresses URL de votre site ne changent pas, l'examen doit en tenir compte de façon à pouvoir utiliser une autre méthode pour les distinguer. Que le site utilise des paramètres (chaîne de requête ou données POST) ou des cookies pour distinguer les différentes pages, vous pouvez les identifier dans le cadre des règles de normalisation pour un domaine. Pour configurer la normalisation sur un domaine et pour que tous les travaux reconnaissent les pages de ce domaine de la même manière, allez à la page Objet de l'examen pour ce travail et cliquez sur un domaine pour modifier ses propriétés.

JavaScript et Flash

En effectuant les examens préliminaires d'un site, cochez la case Faire une analyse syntaxique du code JavaScript pour reconnaître les adresses URL. Après avoir compris les options, déterminez dans quelle mesure le code JavaScript est utilisé sur le site et la complexité de ce code JavaScript.

S'il existe des liens dans le code JavaScript et des fichiers Flash sur le site, vérifiez que l'examen peut les trouver. Si ce n'est pas le cas, ajoutez-les aux adresses URL de départ et utilisez des XRules pour imiter la logique Flash. Les XRules sont ajoutées à la page Options d'examen avancées > XRules du travail.

Pages d'erreur personnalisées

Certains sites webs utilisent des pages 404 personnalisées pour rediriger le navigateur lorsqu'il rencontre un lien interne rompu. Le résultat dépend de la façon dont ces types de pages ont été configurés. Toutefois, ils peuvent aboutir à une réponse du serveur de type 200 que l'examen interprète alors comme lien non rompu ou OK. Pour atténuer ce faux positif, identifiez les pages d'erreur personnalisées pour que le travail d'examen les reconnaisse et génère des rapports sur ces pages en tant que liens rompus lorsqu'elles sont rencontrées.

Utilisez la page Option d'examen générales > Pages d'erreur personnalisées pour spécifier les pages que l'examen doit considérer comme ayant des liens rompus. Les pages d'erreur personnalisées peuvent être configurées à partir d'un travail ou sur l'onglet Administration.

Vous pouvez rapidement déterminer si le site utilise les pages 404 personnalisées en entrant une adresse URL incorrecte dans votre navigateur pour le site. Voyez si une page comportant un titre d'erreur unique apparaît ou si une redirection vers une adresse URL unique est effectuée. Si c'est le cas, ajoutez le titre de la page résultante ou l'adresse URL à la page Pages d'erreur personnalisées.

Exclusions

Identifiez tout lien pouvant être exclus de l'examen ou du moins de l'examen préliminaire, par exemple des liens qui :

  • modifient le mot de passe ;
  • désactivent le compte ;
  • suppriment des éléments, en particulier si cette suppression est irréversible ;
  • offrent le même contenu selon un format d'impression ;
  • dirigent vers des images d'espacement inexistantes, telles que blank.gif ou spacer.gif, qui servent de texte HTML remplaçable. Généralement, ces images n'existent pas sur le serveur web et elles peuvent être exclues pour éviter d'encombrer vos rapports.

Fonctions de panier d'achat

Excluez toujours les modèles d'adresses URL qui proviennent d'applications de type "Ajouter au panier d'achat". Les examens peuvent mettre un peu trop à l'épreuve ce type d'applications si elles reçoivent plusieurs unités d'exécution par seconde. Effectuez une exploration manuelle d'un élément "Ajouter au panier d'achat" pour vérifier qu'il est testé.

Utilisez la page Exclure des chemins et fichiers pour exclure des sections du site de l'examen. Exclure regexp:.*addtocart.*.

Agendas

Les calendriers peuvent exécuter l'examen en boucle infinie en examinant chaque jour de chaque année dans le calendrier. Les modèles d'ID session et les exclusions permettent de réduire cette occurrence.

Fichiers multimédias

Les gros fichiers multimédias tels que les .wmv et .mov peuvent généralement être exclus de l'examen. S'ils ne sont pas exclus, ils peuvent considérablement accroître le temps nécessaire à l'examen du site.

Utilisez la page Exclure des chemins et fichiers pour exclure des sections du site de l'examen.

Tris sur les lignes ou les colonnes d'un tableau

Lorsque le contenu d'une page peut être trié, comme pour un tableau ayant des colonnes permettant le tri, vous avez la possibilité d'exclure les adresses URL de chaque page triée. Par exemple, un rapport a deux URL différentes mais le contenu est le même - la seule chose qui a changé est le tri de la colonne Vulnérabilité. Si vous n'excluez pas les adresses URL de chaque page nouvellement triée, le travail d'examen va traiter le même contenu plusieurs fois. Utilisez la page Exclure des chemins et fichiers pour exclure des sections du site de l'examen.

Connexions et applications à étapes

En cherchant à effectuer un examen au-delà d'une page de connexion, voici quelques points à prendre en compte :

  • L'application nécessite-t-elle une connexion unique ? Utilisez la page Gestion de connexion pour entrer un nom d'utilisateur et un mot de passe afin que l'examen puisse ouvrir la session pour vous.
  • La page de connexion vous redirige-t-elle vers d'autres domaines ? Si c'est le cas, ajoutez les autres domaines en tant que domaines internes pour le travail. Pour ajouter des domaines en tant que domaines internes, allez à la page Objet de l'examen et cliquez sur Ajouter un domaine.
  • La page de connexion ou d'entrée sur votre site se compose-t-elle d'une série de formulaires à étapes ? Si c'est le cas, démarrez l'examen de contenu par une séquence de connexion enregistrée. Utilisez la page Gestion de connexion pour enregistrer une séquence de connexion.
  • Le site utilise-t-il les ID session ? Si tel est le cas, il se peut que vous deviez ajouter les ID session dans les propriétés du travail d'examen. Pour configurer les ID session, accédez à la page Paramètres et cookies. Lorsqu'ils sont configurés en tant qu'exclusions de paramètres et de cookies, ils sont ajoutés pour normaliser les adresses URL. Lorsqu'ils sont configurés en tant qu'ID session, ils permettent à l'examen de se poursuivre à travers le site sans être interrompu par des valeurs de session incorrectes.
  • Le site utilise-t-il des cookies pour la connexion ? L'examen n'ira au-delà de la connexion que si vous avez configuré le cookie pour une connexion automatique avant de lancer l'examen.
  • Existe-t-il un lien de déconnexion après le formulaire de connexion ? Si tel est le cas, vous devez exclure ce lien de déconnexion, pour éviter que l'examen de contenu ne le suive et n'aboutisse à une déconnexion. Le plus souvent, une déconnexion se présente sous la forme d'un bouton de déconnexion. D'autres variations courantes sont Fermeture de session, Fin de session et Quitter. Dans certains cas, il est arrivé que des liens vers certaines pages Web forcent l'utilisateur à se déconnecter. Si le bouton de déconnexion n'est pas apparent ou s'il n'est pas facile de déterminer quelles conditions provoqueraient une déconnexion, il est préférable de contacter le développeur du site Web.

Forms

Certains formulaires comportent des attributs dont la valeur change. Si ces attributs changent entre les examens, le travail d'examen considère chaque changement comme issu d'un formulaire unique et génère un rapport sur chaque formulaire modifié d'où des rapports résultants beaucoup trop importants. Pour éviter ce problème, appliquez des règles de normalisation au domaine examiné. Les adresses URL et les formulaires trouvés par le travail d'examen peuvent être normalisés dans la page Objet de l'examen en modifiant les propriétés du domaine.

Fournissez à l'examen les valeurs de vos formulaires courants afin qu'il puisse se poursuivre sans interruption. Par exemple, si le travail d'examen rencontre plusieurs fois un formulaire sur le site ou dans l'application Web, il doit à chaque fois fournir du contenu pour ce formulaire. Utilisez la page Remplissage de formulaire automatique pour ajouter des valeurs de formulaire telles que le nom du pays ou de la région, ce qui vous évite d'intervenir à chaque occurrence du formulaire relatif au nom du pays ou de la région.