Accueil
Référence
Consultez les informations de référence relatives au produit.
Rubriques de l'explorateur de dossiers
Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
Création d'examens dans l'explorateur de dossiers
Apprenez à créer un examen dans l'explorateur de dossiers.
Optimisation de votre examen à l'aide des options de configuration d'examen avancé
Cette tâche permet de configurer un examen avancé avec une configuration complexe. Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
Corrélation des données d'analyse statique avec des données d'analyse dynamique
Importez des données depuis AppScan® Source pour corréler ses résultats avec un examen de sécurité d'analyse existant (travail d'examen de contenu AppScan Enterprise Server ou travail d'importation AppScan Standard).
Fonctionnement de la corrélation (analyse hybride)
Aucune technique d'analyse automatisée unique ne peut trouver toutes les vulnérabilités possibles ; chacune d'elles a ses propres avantages et inconvénients. Dynamic Analysis Security Testing (DAST) teste une application Web en cours d'exécution en effectuant des sondages selon des techniques similaires à celles utilisées par un hacker. Static Analysis Security Testing (SAST) examine le code source d'une application afin de détecter les vulnérabilités potentielles.
Meilleures pratiques pour l'analyse hybride
Les approches de test étant très différentes, le pourcentage de corrélation peut être relativement faible. Les avantages et les inconvénients de chaque type d'analyse diffèrent, comme indiqué dans ce tableau.

Référence
Consultez les informations de référence relatives au produit.
- Rubriques de l'assistant de configuration
  Apprenez-en plus sur les rubriques de l'assistant de configuration.
- Rubriques de l'explorateur de dossiers
  Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
  - Création d'examens dans l'explorateur de dossiers
    Apprenez à utiliser un examen dans l'explorateur de dossiers.
  - Création d'examens dans l'explorateur de dossiers
    Apprenez à créer un examen dans l'explorateur de dossiers.
    - Création d'un modèle QuickScan à l'aide des propriétés d'examen à partir d'AppScan Enterprise
      Un modèle QuickScan comprend soit un travail d'examen de contenu, soit un travail d'importation, en plus d'un groupe de rapports. Lorsque vous avez créé des modèles d'examen dans le dossier Modèles de la liste Dossier, ces modèles sont automatiquement mis à la disposition des utilisateurs de QuickScan et des utilisateurs plus expérimentés ayant activé leur vue QuickScan dans la liste Afficher l'explorateur de dossiers. Lorsqu'un utilisateur de QuickScan crée un examen, un travail et un groupe de rapports sont créés sur la base du modèle, mais ils apparaissent pour l'utilisateur de QuickScan comme un seul et même examen.
    - Configuration d'un examen de base sans tests de sécurité
      Cette tâche permet de configurer un examen de base avec une configuration minimale. Cet examen détectera automatiquement davantage d'adresses URL à tester dans votre application Web. Utilisez cette méthode pour une application comportant un grand nombre de liens statiques et ne requérant pas une interaction utilisateur intensive. Cet examen ne teste pas les problèmes de sécurité mais vous aide à démarrer l'exploration de votre site pour déterminer la couverture complète du site.
    - Configuration d'un examen de sécurité à l'aide des propriétés d'analyse d'AppScan Enterprise
      Les examens de sécurité doivent être exécutés dans un environnement de préproduction, tel qu'un serveur de transfert ou d'assurance qualité. Cette approche permet de limiter les risques associés à l'exécution d'examens de sécurité. Votre environnement de préproduction doit refléter l'environnement de production autant qu'il est possible ; l'application doit avoir les mêmes fichiers exécutables dans les deux environnements de façon à pouvoir tester l'application de façon approfondie. Les examens de sécurité doivent également être intégrés à votre processus SDLC (Software Development Life cycle) de façon à pouvoir isoler les problèmes de sécurité avant qu'ils n'atteignent votre environnement de production.
    - Fonctionnement d'un examen de sécurité
      Un examen de sécurité consiste en deux phases : l'exploration et le test.
    - Flux de travaux de test de la sécurité
      Un examen de sécurité exige une configuration soignée afin qu'il détecte toutes les adresses URL dans votre application web et qu'il teste leurs vulnérabilités.
    - Fonctionnement de l'analyse du code source JavaScript™
      JavaScript™ Security Analyzer (JSA) effectue une analyse statique du code source JavaScript pour détecter divers problèmes côté client, principalement des scripts intersite basés DOM. JSA analyse les pages HTML collectées par AppScan® Enterprise au cours de l'étape d'exploration. JSA s'exécute parallèlement à l'étape de test ou peut être lancé manuellement à n'importe quel moment sur des résultats d'exploration existants.
    - Optimisation de votre examen à l'aide des options de configuration d'examen avancé
      Cette tâche permet de configurer un examen avancé avec une configuration complexe. Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
      - Ajout de serveurs et de domaines supplémentaires à l'examen
        Pour prendre en compte des domaines et des environnements multiserveur supplémentaires, ajoutez des serveurs et des domaines sur la page Objet de l'examen.
      - Recherche de contenu supplémentaire
        Une XRule est un script XML utilisé pour optimiser l'examen de votre site ou application Web et rechercher dans la base de données les informations collectées par cet examen. Lorsqu'une XRule est utilisée pour améliorer les capacités d'examen de site d'un travail, elle permet de reconnaître des liens dans un fichier Flash, de trouver des liens créés de façon dynamique dans du code JavaScript™ ou de franchir une routine de connexion.
      - Examen des portails WebSphere®
        Spécifiez le portail à examiner.
      - Définition des limites de l'examen
        Définissez les limites de l'examen pour en réduire la portée. Vous pouvez limiter l'examen en fonction du nombre de pages, du chemin du contenu redondant et de la profondeur de clic.
      - Exclusion d'adresses URL d'un examen
        Les exclusions permettent d'empêcher des fichiers, répertoires ou types de fichiers spécifiques d'être analysés pendant l'examen. Il se peut qu'une section de votre site ait un impact négatif sur les résultats globaux de l'examen si elle était incluse dans l'analyse, éventuellement car elle est en cours de construction et qu'elle comporte des problèmes recensés. En excluant cette section de votre site, vous pouvez l'empêcher d'avoir une incidence sur les résultats de rapport et de tableau de bord.
      - Normalisation des adresses URL et des formulaires
        Les règles de normalisation permettent au travail d'examen d'indiquer si des adresses URL et des formulaires sont uniques afin d'éviter qu'ils ne soient répétés dans vos rapports.
      - Définition de paramètres et de cookies
        Il se peut que des paramètres et des cookies, tels que les ID session et les paramètres à exclure de l'examen, requièrent un traitement spécial.
      - Gestion des pages de connexion et de déconnexion
        Configurez la façon dont l'examen gère les pages de connexion et de déconnexion d'une application Web. Utilisez une séquence de connexion pour suivre un processus de connexion complexe ou entrez des expressions régulières pour détecter les pages de connexion rencontrées par l'examen. Les pages de déconnexion sont identifiées afin d'empêcher l'examen de se déconnecter prématurément de l'application ou du site web.
      - Remplissage automatique des formulaires web
        Utilisez Remplissage automatique de formulaires pour fournir à un travail d'examen de contenu des valeurs pour les zones de formulaire qu'il rencontre. A l'aide des valeurs de zone que vous fournissez, l'examen peut continuer sans interruption de reconnaître d'autres adresses URL et contenus à des fins d'analyse.
      - Connexion à un serveur web
        Définissez le comportement du travail d'examen lors de la connexion au réseau.
      - Authentification après du site web
        Lorsque le travail d'examen détecte une page qui nécessite l'authentification Windows™ NT®, il fournit automatiquement le nom d'utilisateur et le mot de passe que vous choisissez. Vous pouvez ajouter des noms d'utilisateur et des mots de passe pour les pages authentifiées. Les certificats côté client indiquent si le moteur d'examen et l'exploration manuelle/connexion enregistrée dépendent d'un fichier de certificat client particulier ou du magasin de certificats du compte de service à des fins d'authentification sur le serveur qu'ils tentent d'examiner.
      - Identification de pages d'erreur personnalisées pour permettre à l'examen de les reconnaître
        Les pages d'erreur personnalisées sont utilisées sur les sites web pour s'assurer qu'un utilisateur ne tombe pas sur une "page en impasse" lorsqu'il tombe sur un lien rompu. En effet, la page d'erreur guide l'utilisateur vers une autre page, comme une page d'accueil.
      - Configuration d'un examen des liens vers une déclaration de confidentialité
        Il est important que le visiteur d'un site web puisse identifier facilement la façon dont les données seront utilisées lorsqu'un site Web lui demande des informations. La charte de confidentialité d'un site web décrit pourquoi les données sont collectées, qui y a accès et de quels droits le visiteur du site Web dispose sur les données une fois celles-ci soumises. Fournir un lien vers la déclaration de confidentialité sur la page d'un formulaire collectant des données personnelles constitue la meilleure façon d'informer l'utilisateur lorsqu'il en a besoin.
      - Exploration manuelle de votre site pour ajouter des adresses URL supplémentaires à l'examen
        Une exploration manuelle signifie que vous indiquez les adresses URL exactes pour l'examen à tester dans la configuration (l'examen n'effectuera pas d'exploration automatique pour détecter de nouvelles adresses URL). Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
      - Corrélation des données d'analyse statique avec des données d'analyse dynamique
        Importez des données depuis AppScan® Source pour corréler ses résultats avec un examen de sécurité d'analyse existant (travail d'examen de contenu AppScan Enterprise Server ou travail d'importation AppScan Standard).
        Fonctionnement de la corrélation (analyse hybride)
        Aucune technique d'analyse automatisée unique ne peut trouver toutes les vulnérabilités possibles ; chacune d'elles a ses propres avantages et inconvénients. Dynamic Analysis Security Testing (DAST) teste une application Web en cours d'exécution en effectuant des sondages selon des techniques similaires à celles utilisées par un hacker. Static Analysis Security Testing (SAST) examine le code source d'une application afin de détecter les vulnérabilités potentielles.
        Exemples d'analyse hybride
        Voici quelques exemples d'analyse hybride.
        Meilleures pratiques pour l'analyse hybride
        Les approches de test étant très différentes, le pourcentage de corrélation peut être relativement faible. Les avantages et les inconvénients de chaque type d'analyse diffèrent, comme indiqué dans ce tableau.
        Différences entre les résultats d'analyse statique et les problèmes d'analyse dynamique
        Cette rubrique décrit les différences entre les résultats et les problèmes de sorte que les rapports soient compréhensibles.
      - Examens incrémentiels
      - Vue Optimisation du test
        L'option Optimisation du test utilise les filtres de test intelligents de AppScan® pour obtenir des examens plus rapides, lorsque la rapidité est nécessaire, avec une perte minimale de la couverture des problèmes. Vous choisissez entre quatre niveaux d'optimisation en fonction de vos besoins.
      - Retest d'un problème de sécurité
        En retestant un problème de sécurité, vous pouvez vérifier rapidement que vous avez bien corrigé ce problème. Au lieu d'exécuter l'ensemble d'un travail pour voir les résultats, sélectionnez un ou plusieurs problèmes que vous avez corrigés et retestez-les immédiatement.
    - Capture et importation des données de trafic
    - Importation d'un fichier de connexion basé sur les actions depuis AppScan Standard
      La fonctionnalité de connexion basée sur les actions dans AppScan Standard produit les actions réelles de l'utilisateur dans le navigateur, plutôt que les requêtes simplement, et réexécute la séquence dans le navigateur. Tirez parti de cette fonctionnalité en créant une connexion basée sur les actions dans AppScan Standard et en l'important dans AppScan Enterprise pour éviter les événements hors session lors de l'examen.
    - Importation des données d'exploration manuelle depuis AppScan® Standard
      Vous pouvez importer des données qui ont été exportées depuis AppScan® Standard version 7.x (et versions ultérieures) dans AppScan Enterprise. L'importation de ces données peut vous faire gagner du temps et limiter les tâches redondantes. Seules les adresses URL (paramètres et domaines) et les requêtes HTTP du fichier .exd AppScan sont importées.
    - Importation des données AppScan® à utiliser dans les rapports
      Un travail d'importation récupère les résultats dans un fichier de données et les intègre dans la base de données AppScan® Enterprise Server. Les données importées peuvent être utilisées pour créer des rapports et des tableaux de bord. Elles peuvent également être combinées aux données des travaux d'examen de contenu pour créer une image précise de vos problèmes.
- Triage avec des rapports
  Les rapports sont générés automatiquement après l'exécution d'un travail. Ils permettent de gérer les problèmes qui sont importants dans votre organisation, avec une méthode prise en charge par le flux de travaux d'Enterprise Console ainsi que par les flux de travaux d'autres processus aux sein de votre organisation.
- Gestionnaire de configuration

Meilleures pratiques pour l'analyse hybride

Les approches de test étant très différentes, le pourcentage de corrélation peut être relativement faible. Les avantages et les inconvénients de chaque type d'analyse diffèrent, comme indiqué dans ce tableau.

Le texte en gras indique les avantages.
Analyse dynamique	Analyse statique
Découverte	Sur-approximation
Couverture de code	Couverture de code/chemin
Non lié au code source	Limité au code donné
Découverte HTTP uniquement	Autre chose que des validations HTTP
Prise en charge multicomposant	Prise en charge par langue/infrastructure
Requiert l'application déployée	Pas besoin de déployer l'application
Quelques conditions prérequises	Prise en charge partielle d'applications
Fonctionne en tant que cyber-attaquant distant	Problèmes d'intégration/déploiement

Pour de meilleurs résultats de corrélation :

Effectuez un pré-filtrage sur les problèmes SAST au niveau de gravité le plus haut pour les problèmes définitifs, suspects.
Enregistrez une évaluation partielle ou configurez le filtre à appliquer automatiquement avant de procéder à la publication dans AppScan® Enterprise.
Avec l'outil DAST, veillez à explorer l'application de la manière la plus exhaustive possible et utilisez la stratégie de test de sécurité la plus complète qui a du sens pour l'application.
Veillez à analyser la même version de l'application Web selon les deux approches.