Création d'un modèle QuickScan à l'aide des propriétés d'examen à partir d'AppScan Enterprise

Un modèle QuickScan comprend soit un travail d'examen de contenu, soit un travail d'importation, en plus d'un groupe de rapports. Lorsque vous avez créé des modèles d'examen dans le dossier Modèles de la liste Dossier, ces modèles sont automatiquement mis à la disposition des utilisateurs de QuickScan et des utilisateurs plus expérimentés ayant activé leur vue QuickScan dans la liste Afficher l'explorateur de dossiers. Lorsqu'un utilisateur de QuickScan crée un examen, un travail et un groupe de rapports sont créés sur la base du modèle, mais ils apparaissent pour l'utilisateur de QuickScan comme un seul et même examen.

Pourquoi et quand exécuter cette tâche

Dans les versions 9.0.1.1 et antérieures, l'équipe de sécurité créait des modèles QuickScan pour les développeurs basés sur les options de travaux AppScan Enterprise. Cette méthode permettait aux analystes de personnaliser le modèle QuickScan pour développeurs, mais donnait souvent des configurations et des résultats d'examen incohérents au sein de l'organisation. Ceci était dû au fait que certains développeurs avaient accès à des options de configuration d'examen supplémentaires.

Vous pouvez créer des modèles d'analyse pour les développeurs qui créent une configuration et des résultats d'analyse cohérents. Cette nouvelle méthode permet aux développeurs (qui n'ont souvent pas beaucoup de connaissances en matière de sécurité) d'acquérir de l'expérience sur la configuration ; elle permet également une connexion et une exploration manuelle basées sur l'action. Voir Création d'un modèle QuickScan à l'aide des propriétés d'examen à partir d'AppScan Standard.

Procédure

  1. Accédez au dossier Modèles dans la liste Dossier et cliquez sur l'icône Créer (Créer) dans la sous-fenêtre de contenu principale.
    Remarque : Vous pouvez limiter les modèles que certains groupes d'utilisateurs peuvent utiliser en créant des sous-dossiers dans le dossier Modèles et en affectant des rôles utilisateur spécifiques à chaque sous-dossier :
    • Administrateur du produit : peut créer/éditer/supprimer des modèles
    • Utilisateur de rapports/Gestionnaire de problèmes : peut utiliser des modèles
    • Administrateur de rapports : peut éditer des groupes de rapports dans les modèles
    • Administrateur de travaux : peut créer/éditer/supprimer des modèles
    • Utilisateur QuickScan : peut uniquement utiliser des modèles auxquels il a accès
    • Aucun accès : aucun accès n'est autorisé
  2. Dans la page Création d'un élément de dossier, sélectionnez le type de travail à créer pour le modèle : travail d'examen de contenu ou travail d'importation.
  3. Entrez un nom et une description (facultatif) pour le modèle. Le nom doit être le plus évocateur possible. Par exemple, si vous créez un examen d'exploration manuelle, vous pouvez indiquer le nom de modèle suivant : examen d'exploration manuelle.
  4. Choisissez le mode de génération des groupes de rapports. Par défaut, la case Création automatique d'un groupe de rapports est cochée. Le groupe de rapports automatiquement créé porte le même nom que le travail et un ensemble de rapports par défaut basé sur les propriétés du travail est également créé.
  5. Choisissez une méthode de création.
    • Utilisez les propriétés par défaut pour créer le travail avec les paramètres intégrés.
    • Utilisez le fichier de paramètres si vous avez exporté un travail similaire et que vous voulez vous baser dessus pour créer le nouveau travail. Pour créer le fichier de paramètres, exportez les paramètres d'un travail.
  6. Cliquez sur Créer pour créer le travail. La première page de propriétés du modèle d'examen s'ouvre pour vous permettre de continuer à configurer ses propriétés.
  7. Dans la page Gestion de connexion, sélectionnez la méthode que les utilisateurs QuickScan doivent utiliser avec ce modèle.
    Remarque :
    • Enregistrée : enregistrez une séquence de connexion que l'examen utilisera. L'examen établit automatiquement la connexion ; les utilisateurs QuickScan peuvent ensuite effectuer une exploration manuelle.
    • Automatique. configurez les expressions régulières identifiant les zones de nom d'utilisateur et de mot de passe. Les heuristiques QuickScan vont utiliser ces expressions pour identifier la page de connexion. Les utilisateurs QuickScan ne pourront pas utiliser leur propre nom d'utilisateur ou mot de passe dans ce modèle. Pour inclure le contrôle de connexion automatique, la méthode de connexion choisie sur la page Gestion des connexions doit être Connexion automatique ou Aucune .
    • Aucun : les utilisateurs QuickScan vont configurer la gestion de la connexion pendant la configuration de l'examen.
  8. Continuez de configurer les propriétés de l'examen. Lorsque vous avez terminé, cliquez sur Configuration de modèle.
  9. Dans la page Configuration de modèle, sélectionnez les contrôles de QuickScan à ajouter au modèle.
    Remarque : Si la Détection en session est activée, le contrôle de Détection en session doit être inclus dans le modèle pour que les utilisateurs QuickScan puissent éditer le masque en session si nécessaire.
  10. Choisissez le type de méthodes d'exploration à utiliser par l'examen : URL de départ, Exploration manuelle ou Exploration des services Web.
    Remarque : Les utilisateurs ne peuvent pas explorer manuellement l'application à l'aide de l'option Adresse URL de départ. L'option Exploration manuelle offre le plus large champ d'exploration des adresses URL possible.
  11. Vous pouvez donner plus de flexibilité aux utilisateurs avancés et limiter l'accès des utilisateurs novices en autorisant les utilisateurs de QuickScan à accéder aux pages de configuration d'examen avancé.
    Remarque : Des restrictions s'appliquent à certaines options d'examen qu'ils peuvent modifier. Voir Utilisateur QuickScan pour plus d'informations.
  12. Cliquez sur Enregistrer.
    Remarque : Si vous renommez le modèle, le groupe de rapports correspondant est automatiquement renommé.