Création d'un examen basé sur un modèle à l'aide des propriétés d'examen AppScan Enterprise

Un QuickScan explore votre site afin d'en reconnaître le contenu, à l'aide des paramètres définis dans un modèle d'examen créé par un administrateur. Une fois collectées par l'examen, les données sont stockées dans une base de données pour être analysées par le moteur de reporting et mises à votre disposition via les groupes de rapports qui sont des collections de rapports. La plupart de vos tâches d'analyse de données porteront sur les données fournies dans ces rapports.

Avant de commencer

  1. Cette tâche est effectuée par un développeur avec des droits utilisateur de QuickScan. AppScan Enterprise version 9.0.2 contient une nouvelle méthode de création d'examen. Cette méthode permet de créer une configuration et des résultats d'examen cohérents. Voir Création d'un examen basé sur un modèle à l'aide des propriétés d'examen AppScan Standard.
  2. Vous pouvez être amené à installer un plug-in de navigateur pour pouvoir utiliser les fonctions d'exploration manuelles ou de connexion enregistrée. Vous pouvez également utiliser l'outil Explorateur manuel.

Pourquoi et quand exécuter cette tâche

ATTENTION : N'utilisez pas d'informations privées dans votre configuration d'examen, car ces données risquent d'être consultées par un tiers. Pour poursuivre l'enregistrement de navigateur, vérifiez que vous êtes déconnecté des sessions existantes. Utilisez un compte utilisateur de test lors de l'exploration manuelle afin d'éviter l'affichage en clair des noms d'utilisateur et des mots de passe dans l'interface Enterprise Console.
Remarque :
  1. Selon le modèle que vous utilisez, il se peut que certaines des options présentées dans cette tâche ne soient pas disponibles.
  2. Si vous devez configurer des options d'examen avancées, comme la définition des exclusions d'adresses URL, cliquez sur le lien Configuration d'examen avancée au bas de l'onglet de configuration.

Procédure

  1. Dans la vue Examens, sélectionnez un modèle d'examen dans la liste de modèles QuickScan (sous la barre d'outils), entrez une adresse URL de départ dans le champ, puis cliquez sur l'icône Créer un QuickScan. Selon le modèle que vous choisissez, l'onglet de configuration ou un navigateur d'enregistrement s'ouvre.
  2. Si l'onglet Configuration s'ouvre, modifiez le nom de l'examen, si nécessaire, pour qu'il soit plus évocateur pour votre organisation. Le nom donné à l'examen est par défaut celui de l'adresse URL indiquée dans la page précédente.
  3. (Facultatif) Pour importer les données de trafic :
    1. Cliquez sur Importer le trafic.
    2. Choisissez le mode d'utilisation des données de trafic.
    3. Téléchargez et installez l'outil Explorateur manuel.
      Remarque :
      • L'ordinateur qui héberge l'outil Explorateur manuel doit également être conforme à FIPS pour que l'outil fonctionne correctement.
      • Si vous utilisez Microsoft Windows 2008 Server (avec ou sans R2), le message d'erreur suivant peut s'afficher lors de la tentative d'installation de l'outil : "L'administrateur système a configuré la politique de votre système pour interdire cette installation." Les stratégies de groupe définies sur le serveur ne permettent pas aux utilisateurs standard d'effectuer des installations. Demandez à l'administrateur système de modifier la stratégie de groupe ou d'installer l'outil pour vous.
    4. Pour lancer l'explorateur manuel, accédez à Menu Démarrer > Explorateur manuel HCL AppScan ou cliquez sur l'icône présente sur le bureau.
    5. Cliquez sur Fichier > Préférences et configurez les paramètres pour l'outil d'enregistrement :
    6. Cliquez sur Enregistrer dans l'outil d'exploration manuelle d'AppScan® et parcourez votre application.
    7. Lorsque vous avez terminé d'explorer le site, sauvegardez le fichier et fermez l'outil Explorateur manuel.
    8. Importez le fichier *.htd, puis cliquez sur Importer pour ajouter les adresses URL à QuickScan.
    9. Ignorez l'étape 4 et exécutez la tâche.
  4. Si un navigateur d'enregistrement s'ouvre, procédez comme suit :
    1. Parcourez le site manuellement en entrant des données et en cliquant sur les liens. QuickScan enregistrera toutes les entrées jusqu'à ce que vous cliquiez sur le bouton Arrêter l'enregistrement ou que vous fermiez le navigateur d'enregistrement.
    2. Lorsque vous avez terminé d'explorer votre application, cliquez sur Arrêter ou fermez le navigateur. L'onglet Configuration s'ouvre.
    3. Modifiez le nom de l'examen, si nécessaire, pour qu'il soit plus évocateur pour votre organisation. Le nom donné à l'examen est par défaut celui de l'adresse URL indiquée dans la page précédente.
    4. Dans la liste Adresses URL à examiner, vérifiez que QuickScan a identifié précisément les pages de connexion à votre application et que vous êtes autorisé à effectuer des tests de sécurité sur les adresses URL enregistrées. Toutes les pages enregistrées avant l'accès à la page de connexion sont classifiées comme faisant partie de la séquence de connexion. Les pages enregistrées après la page de connexion sont classifiées comme des pages standard. Pour reclassifier certaines adresses URL, sélectionnez-les et placez-les au-dessus ou en dessous de la ligne dans la liste des adresses URL. Vous pouvez ré-enregistrer la séquence de connexion, le cas échéant, ou explorer manuellement le site pour ajouter des adresses URL à l'examen.
    5. Sélectionnez la façon dont vous voulez effectuer l'examen. Si vous configurez un examen de sorte qu'il explore sans limite le nombre de pages, l'examen peut prendre un temps considérable.
    6. (Facultatif) Sélectionnez ID session de connexion pour ajouter la liste globale de domaines en tant qu'ID session suivis. Les ID session de la liste qui apparaissent en grisé existent déjà dans la liste globale des domaines. Les ID session qui ne sont pas grisés ont été trouvés pendant la séquence de connexion enregistrée.
    7. Passez à l'étape 4.
  5. (Facultatif) Configurez la Connexion automatique. Si l'application nécessite une connexion unique, utilisez un nom d'utilisateur et un mot de passe de sorte que l'examen puisse ouvrir la session pour vous.
  6. (Facultatif) Activez ou désactivez Détection en session. La section des détails sur le masque en session affiche le masque en session que l'examen a utilisé pendant son exécution afin de vérifier qu'il est connecté. S'il ne s'agit pas de celui que vous voulez utiliser, entrez-en un autre, puis cliquez sur Mettre à jour pour le vérifier.
  7. Cliquez sur Autres options d'examen pour configurer les propriétés facultatives de l'examen.
  8. Lorsque vous avez terminé de configurer l'examen, cliquez sur Sauvegarder pour sauvegarder les options d'examen.
  9. Démarrez l'examen. L'onglet Progression s'ouvre et affiche les statistiques relatives à l'examen en cours d'exécution. Vous pouvez aussi choisir de :
    • Sauvegarder les résultats en cours et arrêter : Enregistre les résultats actuels et arrête le travail. L'exécution se termine normalement et les données collectées jusqu'ici sont sauvegardées dans la base de données, mais les rapports sont incomplets.
    • Supprimer les résultats et arrêter : Supprime toutes les données collectées pendant l'exécution et arrête le travail.

Que faire ensuite

Lorsque les résultats de l'examen sont prêts, vous pouvez afficher les rapports dans l'onglet Résultats. Les rapports affichent des informations sur votre site Web ou application et permettent d'accéder à des détails supplémentaires. La plupart de vos tâches d'analyse de données porteront sur les données fournies dans ces rapports.