Flux de travaux de test de la sécurité

Un examen de sécurité exige une configuration soignée afin qu'il détecte toutes les adresses URL dans votre application web et qu'il teste leurs vulnérabilités.

Avant de commencer

Pour garantir la réussite de l'examen de votre site, vous devez veiller à :
  • Examiner autant de contenu que possible sur votre site.
  • Ne pas examiner les contenus en double ou non pertinents.
  • Générer des rapports utiles et exacts.
Vous devez adopter une approche itérative pour que l'examen soit réussi et qu'il respecte ces conditions. Vous devez également avoir une bonne connaissance de la structure et de la technologie du site.
  • Il est préférable de limiter le nombre d'adresses URL de départ lors du premier examen pour que celui-ci puisse s'effectuer plus rapidement.
  • Vous pouvez ajouter des adresses URL non valides comme adresse URL de départ pour examiner des pages non comprises dans les pages détectées dans et sous votre adresse URL standard.
  • Il est préférable de connaître les noms exacts des adresses URL à examiner. Toutes les adresses URL doivent en effet être valides pour que le travail d'examen puisse s'effectuer. Lorsque le travail détecte une adresse URL non valide lors de l'examen, il passe à l'adresse URL suivante de la table Adresses URL de départ existantes. Toutefois, il est possible d'utiliser une adresse URL non valide pour examiner les répertoires qui ne figurent pas dans l'adresse URL de départ.

Procédure

  1. L'administrateur du produit crée les groupes de serveurs à tester. Voir Création d'un groupe de serveurs.
  2. L'administrateur du produit active les adresses IP pour l'examen. Voir Activation et désactivation des adresses IP à examiner.
  3. L'administrateur du produit crée/importe les stratégies de test de sécurité à utiliser. Voir Importation d'une stratégie de test de sécurité avancée depuis AppScan Standard et Création d'une stratégie de test de sécurité simple.
  4. Parcourez le site, puis recherchez les éléments susceptibles d'entraver l'exécution de l'examen. Voici quelques exemples :
    • Pages de connexion
    • Exclusions : "Ajouter au" panier, imprimer cette page, tri d'en-têtes de colonne
    • ID session, et autres paramètres
    • Pages d'erreur personnalisées
    • Formes qui peuvent exiger des valeurs
    • Flash ou JavaScript
  5. Configurez un examen de sécurité et exécutez-le. Voir Configuration d'un examen de sécurité à l'aide des propriétés d'analyse d'AppScan Enterprise.
  6. Affinez et élargissez l'examen. Les résultats du rapport de l'examen test vous indiquent normalement comment affiner l'examen.
    1. L'examen s'est-il arrêté prématurément ? Si oui, une page de déconnexion peut être à l'origine de l'arrêt de l'examen.
    2. Assurez-vous de l'absence de faux positifs dans les rapports.
    3. Déterminez si vous devez supprimer les pages et les formulaires identiques de vos rapports. Les paramètres (chaîne de requête ou données POST) ou les cookies de certaines pages et formulaires peuvent en effet donner l'impression à l'examen que ces pages et formulaires sont différents, alors qu'ils sont en fait identiques. Vous devez normaliser les adresses URL et les formulaires de façon à supprimer leurs paramètres, comme les ID session. L'examen pourra alors identifier ces pages et formulaires comme étant identiques. La normalisation s'effectue au niveau du serveur et du domaine via l'édition d'un domaine global ou au niveau du travail d'examen individuel. Il est possible que les mêmes règles s'appliquent à toutes les adresses URL et à tous les formulaires examinés dans un domaine donné.
    4. Si certaines adresses URL de l'application n'ont pas été détectées, utilisez l'option Exploration manuelle pour explorer manuellement le site et ajoutez des adresses URL à l'examen.
    5. Consultez le rapport Architecture de site Web pour savoir si plusieurs domaines ou répertoires exigent un examen. Les domaines identifiés comme des domaines externes peuvent être ajoutés à la page Objet de l'examen afin qu'ils soient inclus dans l'examen. Si certains domaines répertoriés sur cette page n'ont pas été examinés, il est possible que des pages de connexion aient empêché l'examen d'y accéder.
    6. Réévaluez la configuration des propriétés en fonction des résultats. Vous devrez peut-être configurer des propriétés supplémentaires ou modifier les paramètres des propriétés existantes.
    1. Répétez les deux dernières étapes tant que vous n'êtes pas certain que l'ensemble de votre site ou application Web a été correctement examiné et analysé (absence de faux positifs, etc.).
  7. Corrigez les vulnérabilités, puis retestez vos problèmes de sécurité. Voir Retest d'un problème de sécurité.
  8. Exécutez le Tableau de bord de sécurité et distribuez les résultats. Voir Exécution des tableaux de bord précréés.