Accueil
Référence
Consultez les informations de référence relatives au produit.
Rubriques de l'explorateur de dossiers
Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
Création d'examens dans l'explorateur de dossiers
Apprenez à créer un examen dans l'explorateur de dossiers.
Fonctionnement d'un examen de sécurité
Un examen de sécurité consiste en deux phases : l'exploration et le test.

Référence
Consultez les informations de référence relatives au produit.
- Rubriques de l'assistant de configuration
  Apprenez-en plus sur les rubriques de l'assistant de configuration.
- Rubriques de l'explorateur de dossiers
  Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
  - Création d'examens dans l'explorateur de dossiers
    Apprenez à utiliser un examen dans l'explorateur de dossiers.
  - Création d'examens dans l'explorateur de dossiers
    Apprenez à créer un examen dans l'explorateur de dossiers.
    - Création d'un modèle QuickScan à l'aide des propriétés d'examen à partir d'AppScan Enterprise
      Un modèle QuickScan comprend soit un travail d'examen de contenu, soit un travail d'importation, en plus d'un groupe de rapports. Lorsque vous avez créé des modèles d'examen dans le dossier Modèles de la liste Dossier, ces modèles sont automatiquement mis à la disposition des utilisateurs de QuickScan et des utilisateurs plus expérimentés ayant activé leur vue QuickScan dans la liste Afficher l'explorateur de dossiers. Lorsqu'un utilisateur de QuickScan crée un examen, un travail et un groupe de rapports sont créés sur la base du modèle, mais ils apparaissent pour l'utilisateur de QuickScan comme un seul et même examen.
    - Configuration d'un examen de base sans tests de sécurité
      Cette tâche permet de configurer un examen de base avec une configuration minimale. Cet examen détectera automatiquement davantage d'adresses URL à tester dans votre application Web. Utilisez cette méthode pour une application comportant un grand nombre de liens statiques et ne requérant pas une interaction utilisateur intensive. Cet examen ne teste pas les problèmes de sécurité mais vous aide à démarrer l'exploration de votre site pour déterminer la couverture complète du site.
    - Configuration d'un examen de sécurité à l'aide des propriétés d'analyse d'AppScan Enterprise
      Les examens de sécurité doivent être exécutés dans un environnement de préproduction, tel qu'un serveur de transfert ou d'assurance qualité. Cette approche permet de limiter les risques associés à l'exécution d'examens de sécurité. Votre environnement de préproduction doit refléter l'environnement de production autant qu'il est possible ; l'application doit avoir les mêmes fichiers exécutables dans les deux environnements de façon à pouvoir tester l'application de façon approfondie. Les examens de sécurité doivent également être intégrés à votre processus SDLC (Software Development Life cycle) de façon à pouvoir isoler les problèmes de sécurité avant qu'ils n'atteignent votre environnement de production.
    - Fonctionnement d'un examen de sécurité
      Un examen de sécurité consiste en deux phases : l'exploration et le test.
    - Flux de travaux de test de la sécurité
      Un examen de sécurité exige une configuration soignée afin qu'il détecte toutes les adresses URL dans votre application web et qu'il teste leurs vulnérabilités.
    - Fonctionnement de l'analyse du code source JavaScript™
      JavaScript™ Security Analyzer (JSA) effectue une analyse statique du code source JavaScript pour détecter divers problèmes côté client, principalement des scripts intersite basés DOM. JSA analyse les pages HTML collectées par AppScan® Enterprise au cours de l'étape d'exploration. JSA s'exécute parallèlement à l'étape de test ou peut être lancé manuellement à n'importe quel moment sur des résultats d'exploration existants.
    - Optimisation de votre examen à l'aide des options de configuration d'examen avancé
      Cette tâche permet de configurer un examen avancé avec une configuration complexe. Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
    - Capture et importation des données de trafic
    - Importation d'un fichier de connexion basé sur les actions depuis AppScan Standard
      La fonctionnalité de connexion basée sur les actions dans AppScan Standard produit les actions réelles de l'utilisateur dans le navigateur, plutôt que les requêtes simplement, et réexécute la séquence dans le navigateur. Tirez parti de cette fonctionnalité en créant une connexion basée sur les actions dans AppScan Standard et en l'important dans AppScan Enterprise pour éviter les événements hors session lors de l'examen.
    - Importation des données d'exploration manuelle depuis AppScan® Standard
      Vous pouvez importer des données qui ont été exportées depuis AppScan® Standard version 7.x (et versions ultérieures) dans AppScan Enterprise. L'importation de ces données peut vous faire gagner du temps et limiter les tâches redondantes. Seules les adresses URL (paramètres et domaines) et les requêtes HTTP du fichier .exd AppScan sont importées.
    - Importation des données AppScan® à utiliser dans les rapports
      Un travail d'importation récupère les résultats dans un fichier de données et les intègre dans la base de données AppScan® Enterprise Server. Les données importées peuvent être utilisées pour créer des rapports et des tableaux de bord. Elles peuvent également être combinées aux données des travaux d'examen de contenu pour créer une image précise de vos problèmes.
- Triage avec des rapports
  Les rapports sont générés automatiquement après l'exécution d'un travail. Ils permettent de gérer les problèmes qui sont importants dans votre organisation, avec une méthode prise en charge par le flux de travaux d'Enterprise Console ainsi que par les flux de travaux d'autres processus aux sein de votre organisation.
- Gestionnaire de configuration

Fonctionnement d'un examen de sécurité

Un examen de sécurité consiste en deux phases : l'exploration et le test.

Phase d'exploration

Lorsque vous exécutez un travail d'examen de contenu, la phase d'exploration commence :

L'examen explore l'application comme le ferait un utilisateur, en commençant par les adresses URL spécifiées dans les propriétés du travail. Il recherche chaque lien dans l'application qui n'a pas été filtré. Toutes les restrictions sur l'examen, telles que les Limites de l'examen, sont appliquées au processus Explore.
Une liste des adresses URL présentes dans l'application est créée.
Les adresses URL sont analysées pour fournir les informations nécessaires à la réalisation des tests de sécurité.

Phase de test

La phase de test commence par les résultats de l'analyse Exploration. En fonction de cette analyse, AppScan®Enterprise Server crée des tests, puis :

Envoie une empreinte digitale, qui est une requête spéciale au début de l'examen informant le webmaster que la prochaine série de requêtes est destinée à tester le serveur web par rapport aux problèmes de sécurité.
Se connecte à chaque adresse URL de l'application nécessitant une authentification.
Exécute des tests préliminaires sur les adresses URL, qui aident à interpréter les résultats.
Teste les adresses URL en envoyant des requêtes destinées à révéler les problèmes de sécurité. Il renvoie la requête sous forme de nombreuses variantes : environ 40 par paramètre. Certaines de ces requêtes seront rejetées par le serveur, mais un grand nombre seront acceptées et traitées par AppScan® Enterprise Server.
Enregistre la réponse à chaque requête, disponible sur le rapport A propos de ce problème. Pour ouvrir le rapport A propos de ce problème, cliquez sur Issue number.
Détermine les résultats de test.