Exploration manuelle de votre site pour ajouter des adresses URL supplémentaires à l'examen

Une exploration manuelle signifie que vous indiquez les adresses URL exactes pour l'examen à tester dans la configuration (l'examen n'effectuera pas d'exploration automatique pour détecter de nouvelles adresses URL). Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.

Avant de commencer

Get ready :
  1. Assurez-vous que les options avancées d'Internet Explorer sont configurées de façon à utiliser HTTP 1.1 avant de lancer une exploration manuelle.
  2. Si vous explorez manuellement des applications sur votre machine locale, vous devez vous assurer que le nom d'hôte utilisé dans le navigateur d'exploration manuelle est différent du nom d'hôte utilisé pour accéder à Enterprise Console. Sinon, l'examen peut ne pouvoir accéder aux URL. Par exemple, si vous accédez à Enterprise Console avec https://serveur1/ase, utilisez https://serveur1.domaine.com/ase lors de l'exploration manuelle.

Pourquoi et quand exécuter cette tâche

Explorez manuellement votre site si :

  • vous ne connaissez pas l'adresse URL exacte pour ajouter des pages à la liste d'adresses URL de départ,
  • vous voulez ajouter des pages qui ne sont pas reconnues automatiquement par un examen car il les omet (par exemple, postbacks js non standard sous la forme de liens, js intégré ou liens flash),
  • vous voulez ajouter des pages qui ne sont pas reconnues automatiquement pour d'autres raisons (par exemple, pages orphelines).
Vous pouvez également utiliser la fonction Exploration manuelle avec un balayage automatique de votre site Web. Dans ce cas, l'examen teste toutes les pages manuellement visitées et les pages détectées automatiquement par AppScan Enterprise. Par défaut, AppScan Enterprise inclut l'exploration automatique mais vous pouvez désactiver cette fonction en suivant une des méthodes décrites ci-dessous.
  • Pour les travaux d'examen de contenu de la vue Examens, accédez à la page Options d'exploration. Dans la section Limites de l'examen, sélectionnez Nombre maximal d'adresses URL spécifiées (URL spécifiées dans les propriétés Adresses URL de départ, Exploration manuelle et Connexion enregistrée. Pas d'exploration par araignée).
  • Pour les examens via des modèles *.scant, accédez à la page Propriétés du travail du client AppScan Dynamic Analysis. Dans la section Examen, sélectionnez l'option Test uniquement.
Vous pouvez parfois souhaiter tester uniquement quelques pages. Par exemple, si les pages sont actuellement en cours de développement ou si elles contiennent des problèmes désormais résolus. Utilisez la fonction Exploration manuelle avec une des options mentionnées ci-dessus pour exécuter une petite analyse isolée. Dans d'autres circonstances, vous pouvez souhaiter analyser l'ensemble du site. Vous pouvez utiliser à la fois les options d'exploration manuelle et d'exploration automatique afin de vous assurer que toutes les pages sont visitées pour une couverture complète. Dans ces instances, utilisez plutôt les options par défaut.
ATTENTION : N'utilisez pas d'informations privées dans votre configuration d'examen, car ces données risquent d'être consultées par un tiers. Pour poursuivre l'enregistrement de navigateur, vérifiez que vous êtes déconnecté des sessions existantes. Utilisez un compte utilisateur de test lors de l'exploration manuelle afin d'éviter l'affichage en clair des noms d'utilisateur et des mots de passe dans l'interface Enterprise Console.

Procédure

  1. Dans la section Exploration manuelle de la page Objets de l'examen du travail, cliquez sur l'icône Ajouter (Ajouter).
  2. Dans la page Exploration manuelle, sélectionnez Utiliser l'outil d'exploration manuelle ou le fichier de données d'exploration AppScan Standard.
  3. Téléchargez et installez l'outil.
    Remarque :
    • L'ordinateur qui héberge l'outil Explorateur manuel doit également être conforme à FIPS pour que l'outil fonctionne correctement.
    • Si vous utilisez Microsoft Windows 2008 Server (avec ou sans R2), le message d'erreur suivant peut s'afficher lors de la tentative d'installation de l'outil : "L'administrateur système a configuré la politique de votre système pour interdire cette installation." Les stratégies de groupe définies sur le serveur ne permettent pas aux utilisateurs standard d'effectuer des installations. Demandez à l'administrateur système de modifier la stratégie de groupe ou d'installer l'outil pour vous.
  4. Pour lancer l'explorateur manuel, accédez à Menu Démarrer > Explorateur manuel HCL AppScan ou cliquez sur l'icône présente sur le bureau.
  5. Cliquez sur Fichier > Préférences et configurez les paramètres pour l'outil d'enregistrement :
    • navigateur
      Remarque :
      1. Internet Explorer/Google Chrome : si des instances du navigateur s'exécutent avant que vous n'enregistriez, fermez-les, y compris l'instance dans laquelle AppScan® Enterprise s'exécute. Lorsque vous avez terminé l'enregistrement, vous pouvez rouvrir le navigateur.
      2. Mozilla Firefox :
        • si AppScan® Enterprise utilise le proxy système et que vous tentez d'enregistrer avec Internet Explorer ou Google Chrome, fermez le navigateur Firefox, effectuez l'enregistrement, puis rouvrez le navigateur Firefox.
        • Si vous utilisez Firefox pour la première fois pour enregistrer les données de trafic à l'aide de l'explorateur manuel, veillez à fermer toutes les instances de navigateur Firefox ouvertes.
    • connexions de certificat non valides
    • port de proxy préféré. Lors de l'enregistrement, si ce port est en cours d'utilisation, un autre port sera utilisé et sera indiqué ici.
    • niveau de journalisation de la trace
  6. Cliquez sur Enregistrer dans l'outil d'exploration manuelle d'AppScan® et parcourez votre application.
    Remarque : Si vous explorez un site https://, vous pouvez obtenir une erreur relative à un certificat non valide. Acceptez le certificat car il s'agit d'un certificat non valide sur l'outil Explorateur manuel, pas sur le site Web.
  7. Lorsque vous avez terminé d'explorer le site, sauvegardez le fichier et fermez l'outil Explorateur manuel.
  8. Dans la page Exploration manuelle du travail d'examen de contenu, importez le fichier *.htd, fermez la fenêtre et cliquez sur Sauvegarder pour ajouter les URL à l'examen.
  9. Dans la page Adresses URL explorées manuellement, consultez la liste des adresses URL qui ont été reconnues.
  10. Sélectionnez les adresses URL à supprimer dans la liste Adresses URL explorées manuellement, puis cliquez sur Supprimer.
  11. Sélectionnez les domaines à supprimer dans la liste Domaines explorés manuellement, puis cliquez sur Supprimer et Sauvegarder.
    Remarque : Si vous cliquez par inadvertance sur Sauvegarder et que vous avez encore des modifications à apporter, vous pouvez toujours faire ces modifications dans la page Objet de l'examen.
  12. Dans la page Champs explorés manuellement pour le remplissage automatique de formulaires, consultez les champs pour le remplissage automatique de formulaires qui ont été reconnus lors de l'exploration manuelle, supprimez les champs à ne pas inclure dans l'examen, puis cliquez sur Sauvegarder.
  13. (Facultatif) Pour que les adresses URL soient testées sous forme de séquence ordonnée au cours de l'examen, cochez la case dans la section Exploration manuelle de la page Objet de l'examen. Sélectionnez cette option si des composants de votre application Web ne sont accessibles que par l'envoi de demandes dans un ordre spécifique (opération en plusieurs étapes). L'examen exécute les URL suivant l'ordre dans lequel vous les avez enregistrées avant d'envoyer les tests.
    Remarque :

    Certaines parties d'une application Web, telles qu'un panier ou un formulaire de compte bancaire, ne peuvent être atteintes que par le biais de l'envoi de requêtes dans un ordre précis. Vous pouvez configurer l'examen pour qu'il lise ces adresses URL dans l'ordre approprié. Dans cet exemple, un utilisateur fait des achats en ligne et visite trois pages d'une application de shopping en ligne :

    • Page A : ajout d'un ou de plusieurs articles au panier.
    • Page B : spécification des informations de règlement et de livraison.
    • Page C : réception de la confirmation de la commande

    La page B n'est accessible qu'à partir de la page A. La page C n'est accessible qu'à partir de la page A, suivie de la page B. Lors de l'exploration manuelle, vous enregistrez une séquence unique : page A > page B > page C. Pour tester la page C, l'examen doit envoyer la séquence correcte de requêtes HTTP avant chaque test. Lors du test de la page B, l'examen envoie d'abord une requête pour la page A ; lors du test de la page C, il envoie une requête pour la page A puis une requête pour la page B.

    1. L'examen envoie A et effectue le test 1 sur B
    2. L'examen envoie A et effectue le test 2 sur B
    3. L'examen envoie A, B et effectue le test 1 sur C
    4. L'examen envoie A, B et effectue le test 2 sur C
    En raison de la nature des opérations en plusieurs étapes, il se peut que l'examen soit lent car les requêtes en plusieurs étapes sont envoyées dans une unité d'exécution unique.

Résultats

Les adresses URL ajoutées par exploration manuelle sont ajoutées à la liste Additional URLs et sont traitées de la même façon que les adresses de la liste des adresses URL de départ. Les domaines ajoutés par exploration manuelle sont ajoutés à la liste Additional Domains.

Que faire ensuite

Ajout de serveurs et de domaines supplémentaires à l'examen