Accueil
Référence
Consultez les informations de référence relatives au produit.
Rubriques de l'explorateur de dossiers
Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
Création d'examens dans l'explorateur de dossiers
Apprenez à créer un examen dans l'explorateur de dossiers.
Optimisation de votre examen à l'aide des options de configuration d'examen avancé
Cette tâche permet de configurer un examen avancé avec une configuration complexe. Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
Gestion des pages de connexion et de déconnexion
Configurez la façon dont l'examen gère les pages de connexion et de déconnexion d'une application Web. Utilisez une séquence de connexion pour suivre un processus de connexion complexe ou entrez des expressions régulières pour détecter les pages de connexion rencontrées par l'examen. Les pages de déconnexion sont identifiées afin d'empêcher l'examen de se déconnecter prématurément de l'application ou du site web.
Amélioration de la connexion aux applications via des heuristiques de configuration de connexion
Pendant la connexion aux applications, il peut être intéressant d'obtenir un programme automatisé pour découvrir correctement des identificateurs de session, gérer l'exécution de JavaScript™, ignorer les contrôles de sécurité ou identifier une "page en session".

Référence
Consultez les informations de référence relatives au produit.
- Rubriques de l'assistant de configuration
  Apprenez-en plus sur les rubriques de l'assistant de configuration.
- Rubriques de l'explorateur de dossiers
  Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
  - Création d'examens dans l'explorateur de dossiers
    Apprenez à utiliser un examen dans l'explorateur de dossiers.
  - Création d'examens dans l'explorateur de dossiers
    Apprenez à créer un examen dans l'explorateur de dossiers.
    - Création d'un modèle QuickScan à l'aide des propriétés d'examen à partir d'AppScan Enterprise
      Un modèle QuickScan comprend soit un travail d'examen de contenu, soit un travail d'importation, en plus d'un groupe de rapports. Lorsque vous avez créé des modèles d'examen dans le dossier Modèles de la liste Dossier, ces modèles sont automatiquement mis à la disposition des utilisateurs de QuickScan et des utilisateurs plus expérimentés ayant activé leur vue QuickScan dans la liste Afficher l'explorateur de dossiers. Lorsqu'un utilisateur de QuickScan crée un examen, un travail et un groupe de rapports sont créés sur la base du modèle, mais ils apparaissent pour l'utilisateur de QuickScan comme un seul et même examen.
    - Configuration d'un examen de base sans tests de sécurité
      Cette tâche permet de configurer un examen de base avec une configuration minimale. Cet examen détectera automatiquement davantage d'adresses URL à tester dans votre application Web. Utilisez cette méthode pour une application comportant un grand nombre de liens statiques et ne requérant pas une interaction utilisateur intensive. Cet examen ne teste pas les problèmes de sécurité mais vous aide à démarrer l'exploration de votre site pour déterminer la couverture complète du site.
    - Configuration d'un examen de sécurité à l'aide des propriétés d'analyse d'AppScan Enterprise
      Les examens de sécurité doivent être exécutés dans un environnement de préproduction, tel qu'un serveur de transfert ou d'assurance qualité. Cette approche permet de limiter les risques associés à l'exécution d'examens de sécurité. Votre environnement de préproduction doit refléter l'environnement de production autant qu'il est possible ; l'application doit avoir les mêmes fichiers exécutables dans les deux environnements de façon à pouvoir tester l'application de façon approfondie. Les examens de sécurité doivent également être intégrés à votre processus SDLC (Software Development Life cycle) de façon à pouvoir isoler les problèmes de sécurité avant qu'ils n'atteignent votre environnement de production.
    - Fonctionnement d'un examen de sécurité
      Un examen de sécurité consiste en deux phases : l'exploration et le test.
    - Flux de travaux de test de la sécurité
      Un examen de sécurité exige une configuration soignée afin qu'il détecte toutes les adresses URL dans votre application web et qu'il teste leurs vulnérabilités.
    - Fonctionnement de l'analyse du code source JavaScript™
      JavaScript™ Security Analyzer (JSA) effectue une analyse statique du code source JavaScript pour détecter divers problèmes côté client, principalement des scripts intersite basés DOM. JSA analyse les pages HTML collectées par AppScan® Enterprise au cours de l'étape d'exploration. JSA s'exécute parallèlement à l'étape de test ou peut être lancé manuellement à n'importe quel moment sur des résultats d'exploration existants.
    - Optimisation de votre examen à l'aide des options de configuration d'examen avancé
      Cette tâche permet de configurer un examen avancé avec une configuration complexe. Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
      - Ajout de serveurs et de domaines supplémentaires à l'examen
        Pour prendre en compte des domaines et des environnements multiserveur supplémentaires, ajoutez des serveurs et des domaines sur la page Objet de l'examen.
      - Recherche de contenu supplémentaire
        Une XRule est un script XML utilisé pour optimiser l'examen de votre site ou application Web et rechercher dans la base de données les informations collectées par cet examen. Lorsqu'une XRule est utilisée pour améliorer les capacités d'examen de site d'un travail, elle permet de reconnaître des liens dans un fichier Flash, de trouver des liens créés de façon dynamique dans du code JavaScript™ ou de franchir une routine de connexion.
      - Examen des portails WebSphere®
        Spécifiez le portail à examiner.
      - Définition des limites de l'examen
        Définissez les limites de l'examen pour en réduire la portée. Vous pouvez limiter l'examen en fonction du nombre de pages, du chemin du contenu redondant et de la profondeur de clic.
      - Exclusion d'adresses URL d'un examen
        Les exclusions permettent d'empêcher des fichiers, répertoires ou types de fichiers spécifiques d'être analysés pendant l'examen. Il se peut qu'une section de votre site ait un impact négatif sur les résultats globaux de l'examen si elle était incluse dans l'analyse, éventuellement car elle est en cours de construction et qu'elle comporte des problèmes recensés. En excluant cette section de votre site, vous pouvez l'empêcher d'avoir une incidence sur les résultats de rapport et de tableau de bord.
      - Normalisation des adresses URL et des formulaires
        Les règles de normalisation permettent au travail d'examen d'indiquer si des adresses URL et des formulaires sont uniques afin d'éviter qu'ils ne soient répétés dans vos rapports.
      - Définition de paramètres et de cookies
        Il se peut que des paramètres et des cookies, tels que les ID session et les paramètres à exclure de l'examen, requièrent un traitement spécial.
      - Gestion des pages de connexion et de déconnexion
        Configurez la façon dont l'examen gère les pages de connexion et de déconnexion d'une application Web. Utilisez une séquence de connexion pour suivre un processus de connexion complexe ou entrez des expressions régulières pour détecter les pages de connexion rencontrées par l'examen. Les pages de déconnexion sont identifiées afin d'empêcher l'examen de se déconnecter prématurément de l'application ou du site web.
        Amélioration de la connexion aux applications via des heuristiques de configuration de connexion
        Pendant la connexion aux applications, il peut être intéressant d'obtenir un programme automatisé pour découvrir correctement des identificateurs de session, gérer l'exécution de JavaScript™, ignorer les contrôles de sécurité ou identifier une "page en session".
        Enregistrement d'une séquence de connexion
        Enregistrer une séquence de connexion vous permet d'apprendre à l'examen la procédure de connexion à votre site : Sur quels liens cliquer, quel texte entrer dans les formulaires et l'ordre dans lequel effectuer ces opérations.
        Connexion à une application en utilisant des données d'identification
        Vous pouvez configurer les données d'identification de nom d'utilisateur et de mot de passe afin que l'examen les utilise automatiquement pour se connecter à une application.
        Identification des pages en session
        Avec la Détection en session, l'examen peut déterminer s'il a été déconnecté ou non d'une application qu'il tente de tester. Un masque en session est un masque identifié dans une page, tel qu'un lien de déconnexion, que l'examen peut utiliser pour vérifier qu'il est toujours connecté. Lors d'une séquence de connexion enregistrée, l'examen identifie une page en session. S'il ne s'agit pas de la page que vous voulez utiliser pour la détection en session, vous pouvez la changer.
        Identification de la page de déconnexion
        Les pages de déconnexion sont identifiées afin d'empêcher l'examen de se déconnecter prématurément de l'application ou du site web.
      - Remplissage automatique des formulaires web
        Utilisez Remplissage automatique de formulaires pour fournir à un travail d'examen de contenu des valeurs pour les zones de formulaire qu'il rencontre. A l'aide des valeurs de zone que vous fournissez, l'examen peut continuer sans interruption de reconnaître d'autres adresses URL et contenus à des fins d'analyse.
      - Connexion à un serveur web
        Définissez le comportement du travail d'examen lors de la connexion au réseau.
      - Authentification après du site web
        Lorsque le travail d'examen détecte une page qui nécessite l'authentification Windows™ NT®, il fournit automatiquement le nom d'utilisateur et le mot de passe que vous choisissez. Vous pouvez ajouter des noms d'utilisateur et des mots de passe pour les pages authentifiées. Les certificats côté client indiquent si le moteur d'examen et l'exploration manuelle/connexion enregistrée dépendent d'un fichier de certificat client particulier ou du magasin de certificats du compte de service à des fins d'authentification sur le serveur qu'ils tentent d'examiner.
      - Identification de pages d'erreur personnalisées pour permettre à l'examen de les reconnaître
        Les pages d'erreur personnalisées sont utilisées sur les sites web pour s'assurer qu'un utilisateur ne tombe pas sur une "page en impasse" lorsqu'il tombe sur un lien rompu. En effet, la page d'erreur guide l'utilisateur vers une autre page, comme une page d'accueil.
      - Configuration d'un examen des liens vers une déclaration de confidentialité
        Il est important que le visiteur d'un site web puisse identifier facilement la façon dont les données seront utilisées lorsqu'un site Web lui demande des informations. La charte de confidentialité d'un site web décrit pourquoi les données sont collectées, qui y a accès et de quels droits le visiteur du site Web dispose sur les données une fois celles-ci soumises. Fournir un lien vers la déclaration de confidentialité sur la page d'un formulaire collectant des données personnelles constitue la meilleure façon d'informer l'utilisateur lorsqu'il en a besoin.
      - Exploration manuelle de votre site pour ajouter des adresses URL supplémentaires à l'examen
        Une exploration manuelle signifie que vous indiquez les adresses URL exactes pour l'examen à tester dans la configuration (l'examen n'effectuera pas d'exploration automatique pour détecter de nouvelles adresses URL). Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
      - Corrélation des données d'analyse statique avec des données d'analyse dynamique
        Importez des données depuis AppScan® Source pour corréler ses résultats avec un examen de sécurité d'analyse existant (travail d'examen de contenu AppScan Enterprise Server ou travail d'importation AppScan Standard).
      - Examens incrémentiels
      - Vue Optimisation du test
        L'option Optimisation du test utilise les filtres de test intelligents de AppScan® pour obtenir des examens plus rapides, lorsque la rapidité est nécessaire, avec une perte minimale de la couverture des problèmes. Vous choisissez entre quatre niveaux d'optimisation en fonction de vos besoins.
      - Retest d'un problème de sécurité
        En retestant un problème de sécurité, vous pouvez vérifier rapidement que vous avez bien corrigé ce problème. Au lieu d'exécuter l'ensemble d'un travail pour voir les résultats, sélectionnez un ou plusieurs problèmes que vous avez corrigés et retestez-les immédiatement.
    - Capture et importation des données de trafic
    - Importation d'un fichier de connexion basé sur les actions depuis AppScan Standard
      La fonctionnalité de connexion basée sur les actions dans AppScan Standard produit les actions réelles de l'utilisateur dans le navigateur, plutôt que les requêtes simplement, et réexécute la séquence dans le navigateur. Tirez parti de cette fonctionnalité en créant une connexion basée sur les actions dans AppScan Standard et en l'important dans AppScan Enterprise pour éviter les événements hors session lors de l'examen.
    - Importation des données d'exploration manuelle depuis AppScan® Standard
      Vous pouvez importer des données qui ont été exportées depuis AppScan® Standard version 7.x (et versions ultérieures) dans AppScan Enterprise. L'importation de ces données peut vous faire gagner du temps et limiter les tâches redondantes. Seules les adresses URL (paramètres et domaines) et les requêtes HTTP du fichier .exd AppScan sont importées.
    - Importation des données AppScan® à utiliser dans les rapports
      Un travail d'importation récupère les résultats dans un fichier de données et les intègre dans la base de données AppScan® Enterprise Server. Les données importées peuvent être utilisées pour créer des rapports et des tableaux de bord. Elles peuvent également être combinées aux données des travaux d'examen de contenu pour créer une image précise de vos problèmes.
- Triage avec des rapports
  Les rapports sont générés automatiquement après l'exécution d'un travail. Ils permettent de gérer les problèmes qui sont importants dans votre organisation, avec une méthode prise en charge par le flux de travaux d'Enterprise Console ainsi que par les flux de travaux d'autres processus aux sein de votre organisation.
- Gestionnaire de configuration

Amélioration de la connexion aux applications via des heuristiques de configuration de connexion

Pendant la connexion aux applications, il peut être intéressant d'obtenir un programme automatisé pour découvrir correctement des identificateurs de session, gérer l'exécution de JavaScript™, ignorer les contrôles de sécurité ou identifier une "page en session".

Cet examen utilise un ensemble d'heuristiques de configuration de connexion pour identifier :

les pages inutiles à éliminer de l'examen
les paramètres et les cookies devant être suivis pendant l'examen
la meilleure page à utiliser pour la détection de page en session

Pages inutiles

Ces heuristiques suppriment les pages qui ne sont pas importantes pour l'acquisition de la session. Si elles ne résolvent pas les problèmes "hors session", elles améliorent les performances d'examen et les performances des autres ensembles d'heuristiques. Si aucune page inutile n'est détectée, ces heuristiques fonctionnent de manière transparente. Faute de quoi, vous pouvez sélectionner les pages à conserver ou à supprimer.

Paramètres et cookies

Cet ensemble d'heuristiques identifie les paramètres et les cookies à suivre pendant un examen (le moteur d'examen met à jour les valeurs de ces entités à partir des réponses du site cible). Les heuristiques identifient également les paramètres de nom d'utilisateur et de mot de passe et si l'exécution de JavaScript™ est requise pendant la connexion.

Page en session et schéma

Cet ensemble d'heuristiques tente d'identifier la meilleure page à utiliser pour la détection en session, puis extrait une chaîne de cette page qui identifie cette page comme étant "connectée".