Vue Configuration avancée

L'onglet Configuration avancée de la boîte de dialogue Configuration des examens permet de modifier des paramètres avancés du registre qui affectent des examens spécifiques (Configuration des examens > onglet Configuration avancée) et devrait être utilisé uniquement par des utilisateurs AppScan expérimentés ou conformément aux instructions de l'équipe de support en vue de traiter un problème.

Conseil : Les paramètres avancés du registre affectant AppScan généralement (et non pas un examen spécifique) ne sont pas situés ici, mais sous l'onglet Avancé de la boîte de dialogue Options (Outils > Options > onglet Avancé).
Remarque : Chaque paramètre est associé à un ID que vous pouvez utiliser dans vos communications avec l'équipe de support. Les éléments de la grille peuvent être triés par nom ou par ID en cliquant sur l'en-tête de la colonne pertinente.
Remarque : Lorsqu'un paramètre par défaut constitué par une expression régulière est supprimé, il est considéré comme non défini (et non comme une expression régulière englobant tout).

Nom

Description

Scénarios d'utilisation possibles

Basés sur les actions :

Navigateur de lecture de connexion

Lorsque vous enregistrez la séquence de connexion, le navigateur AppScan intégré est toujours utilisé pour effectuer l'enregistrement basé sur les actions. Toutefois, vous pouvez configurer le navigateur utilisé par AppScan lors de la lecture de l'enregistrement pendant l'examen. Les options sont les suivantes :
  • 0 = Internet Explorer (version intégrée)
  • 1 = Chromium
  • 2 = Chrome
  • 3 = Firefox

Implicite : 0

Nombre d'instances de navigateur autorisées pendant l'étape de test

Définit le nombre d'instances de navigateur qui peuvent être utilisées au cours de l'étape de test de l'examen.

Valeur par défaut = 5

Si votre site utilise de manière intense un code JavaScript client, AppScan va alors se bloquer pendant l'examen, réduisez donc ce nombre.

Limite de consommation de mémoire

Si l'utilisation de la mémoire AppScan atteint ce seuil, AppScan essaiera de réduire l'utilisation des ressources en limitant le nombre d'unités d'exécution.

Valeur par défaut = 1 000 Mo

Navigateur de lecture d'opérations en plusieurs étapes

Lorsque vous enregistrez une séquence en plusieurs étapes, le navigateur AppScan intégré est toujours utilisé pour effectuer l'enregistrement basé sur les actions. Toutefois, vous pouvez configurer le navigateur utilisé par AppScan lors de la lecture de l'enregistrement pendant l'examen. Les options sont les suivantes :
  • 1 = Chromium
  • 2 = Chrome
  • 3 = Firefox

Implicite : 1

Délai d'attente de non-interaction pour la lecture d'opérations en plusieurs étapes

Délai d'attente sans interaction (en secondes) avant l'arrêt de la lecture d'une opération en plusieurs étapes.

Implicite : 10

Délai d'attente pour la tentative de connexion

Durée en secondes pendant laquelle AppScan attend que le navigateur tente à nouveau d'effectuer une connexion basée sur les actions, avant de provoquer la fermeture du navigateur.

Implicite : 120

Communication :

Valeur d'en-tête de requête langage Accept

Chaîne envoyée pour l'en-tête du langage ACCEPT dans toutes les requêtes HTTP.

Si la valeur n'est pas définie par l'utilisateur, AppScan utilise la valeur envoyée par le navigateur lorsque l'utilisateur ouvre celui-ci pour la première fois au cours de l'examen, pour enregistrer la procédure de connexion ou une opération en plusieurs étapes, ou pour afficher une page.

Remarque : Si vous modifiez le navigateur par défaut, consultez les conditions décrites à la rubrique Modification du navigateur par défaut.

Implicite : fr-FR

Lors de l'étape d'exploration, AppScan peut recevoir une réponse inattendue en raison de la valeur de l'en-tête Internet Explorer. Dans ce cas, vérifiez quelle valeur doit être utilisée dans l'en-tête de langage ACCEPT lors de l'interaction avec le site, et définissez-la dans ce paramètre (ou dans Internet Explorer).

En-têtes personnalisés

Permet de définir des en-têtes personnalisés à ajouter à toutes les requêtes envoyées par AppScan au site.

Implicite : vider

Si votre site attend un contenu d'en-tête spécifique (par exemple, si l'accès au site s'effectue via un plug-in client ou de navigateur spécifique), définissez le ou les en-têtes ici. Chaque en-tête doit être précédé par un délimiteur. L'en-tête et sa valeur doivent être séparés par un deux-points suivi d'un espace.

Mise en forme: délimiteur|en-tête|deux-points et espace|valeur

Exemple 1 :
;Header: Value
(Dans cet exemple, le délimiteur est ;)
Exemple 2 :
,Header1: Value1,Header2: Value2
(Dans cet exemple, le délimiteur est ,)

Forcer une demande HTTP sans paramètre dans chaque action de formulaire

Dans certains cas, la logique côté serveur peut se comporter différemment lorsqu'une soumission de formulaire sans paramètre est reçue.

Si l'option a pour valeur True, AppScan envoie une demande supplémentaire, sans paramètre, à chaque formulaire. En conséquence, des pages d'erreur personnalisées comportant des liens vers d'autres pages Web et d'autres fonctions peuvent être renvoyées.

Implicite : True

Si vous remarquez, lorsque vous affichez le trafic au cours de l'examen, que des soumissions de formulaire sans paramètre entraînent des dépassements de délai d'attente ou des pannes de l'application, vous pouvez choisir d'associer cette option à la valeur False.

Port SSL GSC

Ce paramètre définit le numéro de port utilisé dans GSC pour la communication SSL.

Implicite : 443

Si les liens sont fournis via une Exploration GSC, AppScan identifie HTTPS en fonction de ce numéro de port. Si votre application utilise un port différent pour la communication SSL, définissez-le ici. Si vous n'avez pas défini le port SSL correct, AppScan® enverra tous les tests en HTTP.

Inclure les en-têtes de débogage AppScan dans toutes les demandes

Si cette option a pour valeur True, un en-tête HTTP est ajouté à toutes les demandes envoyées par AppScan au site. Le nom de l'en-tête est "X-AppScan-Debug" et sa valeur inclut des informations sur la raison pour laquelle AppScan envoie cette demande particulière (exploration, test, lecture de la connexion, recherche des serveurs arrêtés, etc.).

Implicite : Faux

La configuration de l'examen en vue de l'envoi d'en-têtes "X-AppScan-Debug" peut être utile pour le suivi du trafic AppScan dans des outils externes tels que des débogueurs Web, des proxys, des analyseurs et des renifleurs.

Remarque : Il se peut que certains sites rejettent les demandes incluant ce type d'en-tête.

Longueur de réponse maximale

AppScan tronque les réponses longues pour éviter des problèmes de consommation de la mémoire. Ce paramètre définit la longueur de réponse maximale autorisée, en Mo. Les réponses plus longues sont traitées comme des erreurs.

Implicite : 8

Si des liens semblent être absents dans AppScan, ou que la session est interrompue, et que l'application a l'habitude de renvoyer des réponses longues, l'augmentation de la longueur de réponse maximale peut être la solution à ce problème.

Supprimer l'en-tête de codage ACCEPT

AppScan supprime tous les codages qu'il ne prend pas en charge. Si ce paramètre est activé, AppScan supprimera l'intégralité de l'en-tête et non pas seulement les codages qu'il ne prend pas en charge.

Implicite : True

Si le serveur rejette les demandes d'AppScan, renvoie des réponses inattendues ou si AppScan ne parvient pas à maintenir ouverte la session, consultez le journal du trafic et comparez les demandes envoyées par AppScan à celles de votre navigateur habituel. Si l'en-tête de codage ACCEPT est différent ou manquant dans votre navigateur, vous devez activer ce paramètre.

Réutiliser les connexions serveur

Par défaut, AppScan ferme les connexions TCP après leur utilisation, car les connexions ouvertes, ainsi que les données sauvegardées, peuvent avoir un impact sur les résultats de l'examen.

Si cette option a pour valeur True, AppScan laisse les connexions ouvertes après leur utilisation et tente de les réutiliser dès que possible.

Implicite : Faux

Si des erreurs indiquant que les ressources du réseau sont épuisées surviennent sur le serveur Web, vous pouvez tenter de résoudre le problème en associant ce paramètre à la valeur True.

Ordre des packages de sécurité

AppScan prend en charge l'authentification Basic, Digest, NTLM, Negotiate, et Kerberos HTTP. Editez cette valeur pour forcer AppScan à utiliser ou non une méthode spécifique ou pour appliquer un ordre de préférence pour la sélection des méthodes lorsque le site ou le proxy en admet plusieurs.

Par exemple, pour autoriser NTLM et Basic seulement et utiliser NTLM de préférence si disponible, remplacez la chaîne par : ntlm, basic

Implicite : Valeur par défaut : basic, digest, ntlm, negotiate, kerberos

Si votre site utilise une méthode d'authentification spécifique et que l'accès est refusé à AppScan, vous pouvez définir la méthode requise comme méthode unique pour tenter de résoudre le problème.

Pour tester votre site avec des méthodes spécifiques, par exemple Basic et NTLM, vous pouvez configurer un examen avec la méthode Basic seulement et un deuxième examen avec la méthode NTLM seulement.

Norm. des barres obliques

Normalisez les URL en remplaçant deux barres obliques consécutives (ou plus) par une seule.

Implicite : True

Si les URL de votre site utilisent des barres obliques consécutives, désactivez ce paramètre.

Traiter la réponse en cas d'erreur comme valide

AppScan traite les pages d'erreur différemment des pages ordinaires (par exemple, leurs liens ne sont pas analysés). Ce paramètre vous permet d'indiquer à AppScan de traiter les pages d'erreur comme s'il s'agissait de pages ordinaires pour l'URL de départ uniquement ou dans tous les cas.

Lorsque la valeur définie est 0, AppScan traite toutes les réponses en cas d'erreur comme non valides.

Lorsque la valeur définie est 1, AppScan traite toutes les réponses en cas d'erreur pour l'adresse URL de départ (4xx et 5xx) comme étant valides.

Lorsque la valeur définie est 2, AppScan considère que toutes les réponses en cas d'erreur sont valides pour les pages standard et l'adresse URL de départ.

Implicite : 0

Si la réponse à votre adresse URL de départ est une page d'erreur, associez la valeur 1 au paramètre.

Pour que l'examen procède à l'extraction de données à partir de pages d'erreur et les teste, associez la valeur 2 au paramètre.

La modification du paramètre par défaut peut avoir un impact sur les performances.

Général :

Suppression des fenêtres contextuelles d'erreur de script dans le navigateur AppScan

Supprime les fenêtres contextuelles d'erreur de script dans le navigateur intégré AppScan pendant l'enregistrement et la lecture de la connexion basée sur les actions, l'exploration manuelle, l'enregistrement en plusieurs étapes et l'affichage dans le navigateur.

Implicite : Faux

Si des messages d'erreur contextuels inappropriés interfèrent avec l'enregistrement et la lecture de la connexion basée sur les actions, vous pouvez les supprimer en définissant cette valeur sur True. Notez que d'autres fenêtres contextuelles, comme des erreurs "Authentification HTTP" et des invites "Installer le contrôle ActiveX" seront également supprimées.

Fusionner les tests redondants

Lorsqu'il est défini sur True, AppScan envoie un seul ensemble de tests sur deux demandes (ou plus) qui sont identiques, à l'exception des cookies supplémentaires. S'il est défini sur False, toutes ces demandes seront testées séparément.

Implicite : True

La définition de ce paramètre sur False peut affecter les performances. Ne faites cette modification que si le Support vous le conseille.

Filtre d'extensions de fichier proxy

Expression régulière définissant les extensions de fichier qui seront supprimées de la liste des URL sauvegardées lorsque vous enregistrez une connexion, une exploration manuelle ou une opération en plusieurs étapes. Si vous supprimez une extension de l'expression régulière, les adresses URL se terminant par cette extension ne sont pas filtrées dans les enregistrements.

Implicite : "\.(zip|Z|tar|t?gz|sit|cab|pdf|

ps|doc|ppt|xls|rtf|dot|mp(p|t|d|e|a|3|

4|ga)|m4p|mdb|csv|pp(s|a)|xl(w|a)|

dbf|slk|prn|dif|avi|mpe?g|mov(ie)?|

qt|moov|rmi?|as(f|x)|m1v|wm(v|f|

a)|wav|ra|au|aiff|midi?|m3u|gif|

jpe?g|bmp|png|tif?f|ico|pcx|css|

xml)$"

Parfois, lorsqu'un type de fichier particulier est nécessaire, par exemple un fichier image CAPTCHA inclus dans votre enregistrement de connexion pour référence, vous pouvez supprimer son extension de fichier (en l'occurrence jp?g) de l'expression régulière.

Nettoyer les journaux

Supprime les informations sensibles des journaux.

Implicite : Faux

Si vous devez supprimer des informations sensibles des journaux, activez cette option et définissez le schéma à supprimer dans l'option "Schéma d'information sensible".

Notez que la modification de ce paramètre est sans effet sur les journaux déjà générés.

Nettoyer les rapports

Supprime les informations sensibles des rapports.

Implicite : True

Si vous devez supprimer des informations sensibles des rapports, activez cette option et définissez le schéma à supprimer dans l'option "Schéma d'information sensible".

Le mot de passe défini dans Configuration des examens > Remplissage automatique de formulaires est exclu de tous les rapports, même si aucun modèle n'est défini.

Notez que la modification de ce paramètre est sans effet sur les rapports déjà générés.

Envoyer tous les tests via GSC

AppScan peut utiliser GSC pour envoyer des tests sur l'ensemble ou une partie des liens trouvés par GSC.

0 = Envoi des messages SOAP uniquement à l'aide de GSC

1 = Utilisation de GSC pour l'envoi de tous les tests sur les liens trouvés par GSC

2 = Pas d'envoi de tests à l'aide de GSC

Implicite : 0

Si vous n'avez pas défini de paramètres de sécurité spéciaux lors de l'exploration de votre site dans GSC, le fait de laisser AppScan (et non GSC) envoyer des tests pendant l'étape Test réduit la durée de l'examen de manière significative. Toutefois, si plusieurs tests n'ont pas reçu de réponse ou ont reçu des réponses d'erreur inattendues, alors le problème est certainement dû à la différence entre la manière dont GSC et AppScan envoient des demandes. L'envoi de ces tests à l'aide de GSC peut permettre de résoudre le problème.

Schéma d'information sensible

Expression régulière qui définit un ou plusieurs groupes à exclure des journaux et des rapports si l'option Nettoyer les journaux ou Nettoyer les rapports est activée.

Implicite : vider

Si vous devez supprimer des informations sensibles des rapports ou des journaux, activez l'option appropriée ("Nettoyer les journaux " ou "Nettoyer les rapports") et définissez ici un ou plusieurs groupes dans une expression régulière.

Le texte sensible est remplacé par : **CONFIDENTIAL 1**, **CONFIDENTIAL 2**, etc.

Le mot de passe défini dans Configuration des examens > Remplissage automatique de formulaires est exclu de tous les rapports, même si aucun modèle n'est défini.

JavaScript™ :

Extraire les liens externes

Lorsque l'exécution de JavaScript est activée, cela permet à AppScan d'extraire les liens externes même si leur serveur n'est pas configuré dans AppScan en tant que serveur supplémentaire.

Implicite : Faux

Les pages HTML comportent fréquemment des liens vers des fichiers source JavaScript externes, tels que des fichiers source Dojo et jQuery. Si vous désirez que l'exécution de JavaScript puisse accéder à tous les liens pertinents identifiés lors de la phase d'exploration, sans avoir à ajouter les serveurs à la liste Serveurs et domaines supplémentaires testés par AppScan, activez ce paramètre.

Notez qu'AppScan extraira le lien, mais sans le tester, ni l'analyser pour de nouveaux liens.

Schéma de lien JavaScript

AppScan utilise divers schémas pour identifier les liens dans le code JavaScript. Si votre site utilise des schémas inhabituels, vous devez les définir dans cette expression régulière.

Implicite : vider

Si AppScan semble ignorer des liens de votre code JavaScript et que votre site utilise des schémas de lien JavaScript inhabituels, définissez ici un ou plusieurs schémas pour indiquer à AppScan ce qu'il doit rechercher.

Localisation :

Codage HTML

Remplace le codage défini dans les réponses HTML de votre site.

Implicite : vider

Si le contenu des réponses dans les résultats d'examen présente une déformation, cela peut être dû au fait que :

1) La méthode de codage n'a pas été correctement identifiée par AppScan, ou

2) La méthode de codage n'est pas correctement définie dans le code HTML de votre site.

Pour résoudre le problème 1 : sélectionnez la méthode correcte dans la liste déroulante Options d'exploration.

Pour résoudre le problème 2 : entrez la méthode de codage correcte ici.

Paramètres et cookies :

Exclure des tests les paramètres JSON redondants

Le corps de type de contenu JSON peut contenir plusieurs valeurs d'un paramètre unique qui doivent être testées individuellement. Si vous définissez cette option à la valeur True, AppScan tente d'identifier les valeurs redondantes et de limiter les tests à un sous-ensemble de paramètres, ce qui réduit la durée de l'examen.

Implicite : True

Si vous constatez qu'un paramètre important n'a pas été testé, définissez cette option à la valeur False.

Exclure des tests les paramètres XML redondants

Le corps de type de contenu XML peut contenir plusieurs valeurs d'un paramètre unique qui doivent être testées individuellement. Si vous définissez cette option à la valeur True, AppScan tente d'identifier les valeurs redondantes et de limiter les tests à un sous-ensemble de paramètres, ce qui réduit la durée de l'examen.

Implicite : True

Si vous constatez qu'un paramètre important n'a pas été testé, définissez cette option à la valeur False.

Suivre les paramètres personnalisés dans les en-têtes

Ce paramètre s'applique uniquement aux examens sauvegardés à l'aide d'AppScan version 8.7.0.1 ou antérieure. Dans les versions ultérieures, le comportement par défaut est devenu True et il est possible de contrôler les valeurs de chaque paramètre et cookie dans : Configuration des examens > Paramètres et cookies > Définition de paramètre > Options de suivi > Correspondance  En-tête et corps (par défaut) ou Corps uniquement (voir Définition de paramètre).

Par défaut, AppScan versions 8.7.0.1 et antérieures recherche des paramètres personnalisés uniquement dans le corps des réponses, et non dans leurs en-têtes. Si vous attribuez la valeur True à ce paramètre, AppScan effectue alors également une recherche dans les en-têtes.

Implicite : Faux

Si AppScan ferme la session suite à des modifications d'un paramètre dans un en-tête de réponse, la modification de ce paramètre peut résoudre le problème. Ceci peut augmenter la durée de l'examen.

Suivre les paramètres dynamiques à l'étape de test uniquement s'il existe du contenu en ligne

Le suivi des paramètres dynamiques au cours de l'étape de test peut entraîner des problèmes de performance. Par conséquent, par défaut, le suivi des paramètres dynamiques n'est effectué au cours de l'étape de test que dans les réponses comportant du contenu en ligne.

Implicite : True

N'associez la valeur False à ce paramètre que si ce type de suivi est essentiel.

Détection de serveur arrêté :

Rechercher "serveur arrêté" dans Exploration

Permet d'envoyer des demandes de signal de présence pour vérifier la condition "Serveur arrêté" pendant l'étape d'exploration.

Implicite : True

Si AppScan reçoit des erreurs de type serveur arrêté pendant l'étape d'exploration bien que le serveur soit en opération, ceci peut être dû au fait que le serveur bloque les demandes de signal de présence fréquentes.

Si AppScan connaît des arrêts de session fréquents pendant l'examen, ceci peut être dû au fait que l'adresse URL de départ est envoyée au serveur comme signal de présence, sans cookies.

La désactivation de ce paramètre peut résoudre le problème mais AppScan ne sera alors pas en mesure de vérifier l'état du serveur.

Rechercher "serveur arrêté" dans Test

Permet d'envoyer des demandes de signal de présence pour vérifier la condition "Serveur arrêté" pendant l'étape de test.

Implicite : True

Si AppScan reçoit des erreurs de type serveur arrêté pendant l'étape de test bien que le serveur soit en opération, ceci peut être dû au fait que le serveur bloque les demandes de signal de présence fréquentes.

Si AppScan connaît des arrêts de session fréquents pendant l'examen, ceci peut être dû au fait que l'adresse URL de départ est envoyée au serveur comme signal de présence, sans cookies.

La désactivation de ce paramètre peut résoudre le problème mais AppScan ne sera alors pas en mesure de vérifier l'état du serveur.

Etape d'exploration - tentatives de reconnexion

Lorsqu'AppScan est sur le point de terminer l'étape d'exploration mais que plusieurs tests ont échoué pour cause de "serveur arrêté", et que le serveur est toujours arrêté, AppScan effectuera plusieurs tentatives de connexion au serveur.

Implicite : 5

Si vous savez que votre serveur est sensible ou constatez que l'examen s'est arrêté en raison d'une erreur de communication et qu'une série de tests a échoué pour les mêmes raisons, vous devez augmenter cette valeur.

Intervalle entre deux tentatives de demande

Intervalle en secondes avant un nouvel envoi des demandes ayant échoué (y compris des demandes de signal de présence).

Implicite : 1

Si vous êtes conscient que votre connexion est médiocre ou votre serveur instable (ce qui peut conduire à des résultats "faux négatifs" ou réduire la couverture de l'application), vous pouvez augmenter cet intervalle pour réduire l'impact.

Nombre limite de tentatives de demande

Nombre de nouvelles tentatives de relance des demandes ayant échoué.

Implicite : 2

L'augmentation de la valeur de ce paramètre peut augmenter l'efficacité de l'examen si votre serveur est instable ou que la communication est médiocre.

Délai d'attente d'arrêt du serveur

Lorsqu'AppScan ne parvient pas à se connecter au serveur ou que la session se ferme, ce paramètre définit la durée (en secondes) pendant laquelle AppScan tentera de se reconnecter ou de rouvrir la session avant d'arrêter l'examen.

Implicite : 185

Si votre connexion est lente, ou si votre serveur met du temps à se recharger après un arrêt, vous pouvez choisir d'augmenter ce paramètre.

intervalle des pulsations serveur arrêté

Intervalle en secondes entre signaux de présence de "serveur arrêté".

Implicite : 3 s

Max : 60 s

Si AppScan reçoit des erreurs de type serveur arrêté pendant l'examen, ceci peut être dû à une connexion médiocre ou à un serveur instable. L'augmentation de cet intervalle peut permettre de résoudre le problème.

Etape de test - tentatives de reconnexion

Lorsqu'AppScan est sur le point de terminer l'étape de test mais que plusieurs tests ont échoué pour cause de "serveur arrêté", et que le serveur est toujours arrêté, AppScan effectuera plusieurs tentatives de connexion au serveur.

Implicite : 5

Si vous savez que votre serveur est sensible ou constatez que l'examen s'est arrêté en raison d'une erreur de communication et qu'une série de tests a échoué pour les mêmes raisons, vous devez augmenter cette valeur.

Gestion des sessions :

Domaines des publicités

Expression régulière décrivant les domaines courants des publicités sur le Web. Les demandes envoyées à ces domaines lors de l'enregistrement de la séquence de connexion seront ignorées.

Implicite : Valeur par défaut : ad\d.googlesyndication| doubleclick\.net|coremetrics\.|webtrends\ .|112\.2o7\.net|view.atdmt.com| ad.yieldmanager.com|ads.adbrite.com| oasn04.247realmedia.com| segment-pixel.invitemedia.com"

La séquence de connexion étant réexécutée continuellement au cours de l'examen, vous pouvez améliorer l'efficacité de l'examen en éliminant par filtrage les demandes non nécessaires.

Si vous supprimez toute l'expression régulière, aucun domaine ne sera éliminé.

Analyser l’enregistrement de connexion

Lorsque vous enregistrez une séquence de connexion, (Configuration des examens > Gestion de connexion), AppScan l’analyse et met à jour les paramètres de la détection En session (schéma En session, demande En session et ID session reçus lors de la connexion).

Implicite : True

Si l’analyse prend trop de temps, vous pouvez remplacer ce paramètre par False. Cependant, si vous le faites, vous devez configurer la détection En session manuellement.

Effacer les cookies avant de lire la connexion

Détermine si les cookies sont supprimés avant la relecture de la séquence de connexion.

Implicite : True

Valeurs de paramètre statique commun

Valeurs de paramètres statiques courantes. Utilisées pour la détection de valeurs de paramètres non aléatoires qui ne doivent pas faire l'objet d'un suivi lors de la connexion.

Implicite : |true|false|\bon\b|\boff\b|\bout\b|checked|enabled|log\s?in|log\ s?out|exit|submit|sign|ever|disabled|agree

Désactiver la mise en mémoire tampon en session pendant l'étape d'exploration

Pendant l'étape d'exploration : Si la réponse à une demande indique que l'utilisateur était hors session lors de son envoi, AppScan met en file d'attente la demande afin de la renvoyer. Cela garantit l'examen d'une partie aussi grande que possible du site.

Implicite : Faux

Si votre site met souvent l'utilisateur hors session, la mise en mémoire tampon en session risque de provoquer une exécution indéfinie de l'étape d'exploration. Si vous affectez la valeur True à cette option, l'étape d'exploration est plus rapide, mais la couverture d'examen du site risque d'être réduite.

En session avant opérations en plusieurs étapes

Par défaut, AppScan vérifie le statut en session avant de réexécuter les opérations en plusieurs étapes.

Implicite : True

Si vous voulez tester des opérations en plusieurs étapes avec un utilisateur non authentifié, ou si vos séquences en plusieurs étapes incluent des étapes de connexion, affectez à ce paramètre la valeur False.

Important : Si l'option Configuration des examens > Gestion de connexion > Détails > Activer la détection en session est désélectionnée et que ce paramètre avancé a la valeur True (par défaut), toute la séquence de connexion sera réexécutée avant chaque opération en plusieurs étapes.

Intervalle des pulsations En session

Intervalle en secondes entre les signaux de présence En session.

Implicite : 5

Si une fin de session intervient sur AppScan durant l'examen, ceci peut être dû à une connexion médiocre ou à un serveur instable. L'augmentation de cet intervalle peut permettre de résoudre le problème.

Filtre du type de contenu de connexion

Expression régulière qui définit des types de contenu qui doivent être exclus des séquences de connexion et d'opération en plusieurs étapes. Lorsqu'une séquence de connexion ou d'opération en plusieurs étapes est enregistrée, les demandes dont les réponses comprennent des en-têtes avec ces types de contenu seront supprimées de la séquence. Ainsi, lorsqu'AppScan réexécute la séquence pendant l'examen, les demandes dont les réponses comprennent des en-têtes avec ces types de contenu ne seront pas envoyées dans la séquence.

Implicite : Par défaut : text/javascript|application/javascript|

application/x-javascript|image|text/css

Si la procédure de connexion de votre site, ou l'une des opérations en plusieurs étapes que vous avez enregistrées, nécessite de cliquer sur un lien contenant un en-tête dont le contenu figure dans cette liste, vous devez le supprimer de l'expression régulière.

Intervalle entre les nouvelles tentatives de connexion

Intervalle en secondes avant un nouvel envoi des demandes de connexion ayant échoué.

Implicite : 3

Si une fin de session intervient dans AppScan et que les tentatives de relance de la connexion échouent, ceci peut être dû au fait que le serveur est sensible aux tentatives de connexion répétées. L'augmentation de cet intervalle peut permettre de résoudre le problème.

Filtre de type de contenu à plusieurs parties

Pour réduire la consommation de mémoire superflue, certains types de contenu sont automatiquement exclus par filtrage des demandes à plusieurs parties (demandes contenant plusieurs types de contenu). Seuls les types de contenu définis dans cette expression régulière sont inclus dans les demandes à plusieurs parties. Les autres types de contenu sont filtrés et exclus.

Le contenu qui ne possède pas d'en-tête de type de contenu est inclus par défaut et défini par la valeur suivante :
content_without_content_type_header

Implicite : text/|text/plain|application/javascript|

application/json|application/rtf|application/xml|

text/xml|content_without_content_type_header

Si un type de contenu important est exclu des demandes, ajoutez-le à cette expression régulière. Il est également possible de réduire la consommation de mémoire en supprimant les types de contenu inutiles afin qu'ils ne soient pas envoyés.

Hôtes de paramètres de navigation

Expression régulière décrivant les hôtes. Utilisée pour la détection des paramètres de navigation (par valeur) ne devant pas faire l'objet d'un suivi pendant la séquence de connexion.

Implicite : https?://

Si votre site utilise des hôtes inhabituels dans les paramètres de navigation, qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen.

Si vous supprimez cet élément, les paramètres de navigation peuvent ne pas être identifiés correctement.

Scripts de paramètres de navigation

Expression régulière décrivant des scripts côté serveur utilisés lors de la détection des paramètres de navigation (par valeur de paramètre) qui ne doivent pas faire l'objet d'un suivi pendant la séquence de connexion.

Implicite : /[^/\.]+\.(htm|jsp|jsf|ws|dll|asp|php|do)

Si votre site utilise des scripts côté serveur inhabituels dans les paramètres de navigation, qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen.

Si vous supprimez cet élément, les paramètres de navigation peuvent ne pas être identifiés correctement.

Paramètres de navigation

Expression régulière décrivant des paramètres de navigation qui ne doivent pas faire l'objet d'un suivi lors de la séquence de connexion.

Implicite : \bnav|url|page|step|redirect|request|

location|target|argument|item|article|

goto|node|action|ctrl|control|source|

menu|frame|command

Si votre site utilise des paramètres de navigation inhabituels qui ne sont pas exclus par l'expression régulière par défaut, ajoutez-les pour améliorer l'efficacité de l'examen.

La modification de l'expression régulière peut générer une couverture insuffisante de l'examen ou un suivi de session inadéquat.

Analyser la page En session

S'il est défini sur False, AppScan n'analysera pas la page en session et ne mettra pas à jour les paramètres ou les cookies suivis dont les valeurs ont été modifiées dans la page en session.

Implicite : True

Si votre page En session ne contient pas de cookies ou de paramètres suivis, vous pouvez améliorer les performances en modifiant la valeur de ce paramètre sur False. Si la valeur est False, AppScan ne mettra pas à jour les valeurs des paramètres ou des cookies suivis sur la page En session, ce qui peut entraîner un passage hors session.

Demandes entre pulsations

A la suite d'une demande de détection de session, AppScan enverra au moins le nombre de demandes définies ici avant d'envoyer une autre demande de détection de session.

Implicite : 1

Si en raison de la lenteur de la réponse du serveur l'examen est constitué principalement de demandes de détection en session (voir le journal du trafic), l'augmentation de cette valeur peut réduire la durée de l'examen.

Délai d'attente pour la tentative de connexion basée sur les actions

Durée en secondes pendant laquelle AppScan attend que le navigateur tente à nouveau d'effectuer une connexion basée sur les actions, avant de provoquer la fermeture du navigateur.

Implicite : 120 secondes

Schémas spéciaux :

Exclure du remplissage automatique de formulaires

Les noms de paramètres répertoriés ici sont exclus du remplissage automatique de formulaires.

Implicite : ^CFID __EVENTVALIDATION __VIEWSTATE ^CFTOKEN __EVENTARGUMENT __EVENTTARGET ^BV_ 

Les paramètres dont la valeur est très longue peuvent ralentir l'examen et accroître la taille des fichiers. Si votre application utilise des paramètres dont les valeurs sont longues et qui ne sont pas requis pour remplir les formulaires, ajoutez-les à cette liste.

Tests :

CSRF : Schéma de demande significative

Par défaut, AppScan teste les requêtes POST et celles avec réponse "Transaction Successful" pour identifier des attaques CSRF (Cross-Site Request Forgery).

Ce paramètre vous permet de définir des demandes supplémentaires comme étant "significatives" d'une vulnérabilité à une attaque CSRF, outre les requêtes POST.

Cette définition est utilisée en conjonction avec "CSRF : Schéma de réponse significative.

Implicite : ^POST

Si vous désirez tester également la vulnérabilité à des attaques CSRF de requêtes GET, modifiez cette expression régulière.

CSRF : Schéma de réponse significative

Par défaut, AppScan teste les requêtes POST et celles avec réponse "Transaction Successful" pour identifier des attaques CSRF (Cross-Site Request Forgery).

Ce paramètre vous permet de définir des réponses supplémentaires comme étant "significatives" d'une vulnérabilité à une attaque CSRF, outre les réponses "Transaction Successful".

Cette définition est utilisée en conjonction avec "CSRF : Schéma de demande significative.

Implicite : Transaction Successful

Si vous désirez tester la vulnérabilité à des attaques CSRF de demandes recevant d'autres types de réponse, définissez-les dans cette expression régulière.

Seuil de différence

AppScan doit souvent comparer deux réponses et déterminer si elles sont "similaires" ou "différentes", afin de définir si un test a abouti ou non. AppScanutilise alors des algorithmes pour attribuer un pourcentage de similarité (où 100 % indique que les deux réponses sont identiques). Dans certains cas, il détermine les résultats du test en fonction du "Seuil de similarité" et dans d'autres, en fonction du "Seuil de différence". Il est possible de configurer ces deux seuils.

Pour la plupart des tests, le seuil de similarité par défaut est de 95 % et le seuil de différence par défaut est de 75 %. Cela implique les points suivants :
  • Pour les résultats de test dépendant de la similarité, un pourcentage de similarité de 95 % ou plus indique que les deux pages sont similaires.
  • Pour les résultats de test dépendant de la différence, un pourcentage de similarité de 75 % ou moins indique que les deux pages sont différentes.

Toute valeur saisie pour ce paramètre située entre 1 et 100 (pourcentage) se substitue au seuil de différence par défaut pour tous les tests. Vous pouvez également, si vous le souhaitez, régler le seuil de similarité.

Implicite : 0 (Utiliser les seuils AppScan)

Si votre site ne contient pas de texte "dynamique" pouvant générer de petites différences dans des réponses similaires, le fait d'indiquer une valeur inférieure à 75 risque de réduire les résultats faussement positifs.

Conseil : Vous pouvez également, si vous le souhaitez, régler le seuil de similarité (voir ci-dessous).

Désactiver le test des cookies

Ce paramètre permet de désactiver le test des cookies.

Implicite : Faux

Si le test des cookies pour votre application allonge considérablement la durée de l'examen, vous pouvez le désactiver. Cependant, ceci peut entraîner l'omission de problèmes de sécurité ("faux négatifs").

Désactiver le test des cookies pour le contenu statique

Désactive le test des cookies dans les demandes pour des pages portant cette extension.

Implicite : ;htm;html;ahtm;ahtml;

chtm;chtml;fhtm;fhtml;mht;

mhtm;mhtml;css;css1;js;

Afin de réduire la durée de l'examen et la consommation de la mémoire, vous pouvez envisager d'exclure des types supplémentaires d'extensions de page. Dans ce cas, ajoutez-les à la liste des extensions à exclure, en les séparant par un point-virgule.

Ne pas tester le répertoire ou la page

Cette option permet de définir une expression régulière afin de protéger des répertoires ou des pages spécifiques des attaques pendant l'étape de test. Seuls seront exclus les répertoires ou pages définis et non les sous-répertoires ou fichiers.

Implicite : /wps/[^/]*/!ut/

Si vous savez que certains répertoires ou pages ne sont pas vulnérables ou craignez que leur test ne nuise à la stabilité du site, vous pouvez les exclure de l'examen en les définissant dans cette expression régulière.

Pour exclure un dossier et tous ses sous-dossiers, reportez-vous à la rubrique Vue Exclusion de chemins et de fichiers

Extraire les liens de toutes les réponses

Par défaut, lors de la phase de test, AppScan ne recherche de nouveaux liens que dans les réponses vulnérables.

Implicite : Faux

Si vous pensez qu'AppScan risque d'ignorer des liens ou que sa couverture est insuffisante, vous pouvez activer ce paramètre, bien que ceci augmente la durée de l'examen et la taille de fichier.

Suivre tous les liens automatiques

Par défaut, AppScan ne suit que des liens* automatiques susceptibles de comporter des vulnérabilités. Les options sont les suivantes : iFrame, Frame et Redirect. Vous pouvez le configurer afin de suivre tous les types de lien automatique.

Notez que les requêtes correspondant à l'expression régulière définies dans "Liens automatiques à ignorer" ne seront jamais envoyées, quelle que soit la valeur de ce paramètre.

Implicite : Faux

Si vous pensez que votre site peut comporter une vulnérabilité dans d'autres types de liens automatiques, comme des scripts, activez ce paramètre. Ceci augmentera la durée d'examen et la taille de fichier.

Connexion après test

Envoyer les tests dans une même unité d'exécution et vérifier en session, ou envoyer la séquence de connexion après chaque test.

0 = False

1 = Envoyer les tests dans une même unité d'exécution et vérifier en session après chaque test. Si une fin de session est détectée, envoie la séquence de connexion.

2 = Envoyer les tests dans une même unité d'exécution et envoyer la séquence de connexion après chaque test.

Implicite : 0

Les paramètres 1 et 2 peuvent s'avérer nécessaires pour les applications comportant une session sensible ou nécessitant des déconnexions fréquentes pour éviter les problèmes de session ou de mémoire. La sélection de ces paramètres peut augmenter la durée d'examen de façon significative.

Opération en plusieurs étapes : limite de validation

Nombre maximal de demandes consécutives provenant d'une opération en plusieurs étapes qui seront validées via des tests de script intersite.

Implicite : 0

Schéma à ignorer dans la réponse

Cette expression régulière définit les sections de la réponse à ignorer par AppScan lors de l'analyse des réponses du test.

Lors de la comparaison des réponses en vue de décider si un test a réussi, AppScan calcule le pourcentage de modification dans la réponse complète. Si la réponse est très longue et la modification minime, AppScan peut ignorer cette différence et ne pas identifier la vulnérabilité.

Implicite : <input[^>]+(__VIEWSTATE|__

EVENTTARGET|

__EVENTARGUMENT|

__EVENTVALIDATION)

[^>]+>

Si votre site envoie des réponses incluant des sections longues qui ne sont pas importantes, la définition des sections ici peut améliorer la précision et les performances de l'examen.

Régénérer l'intervalle de réponse d'origine

Intervalle, en secondes, de régénération de la réponse d'origine (en renvoyant la demande) au cours de la phase de test.

L'une des méthodes utilisées par AppScan pour décider si une réponse de test révèle une vulnérabilité consiste à la comparer avec la réponse d'exploration. Lorsqu'une réponse d'exploration est antérieure à la valeur définie ici, la demande d'exploration est envoyée de nouveau, avant d'envoyer les tests, de sorte qu'une réponse d'exploration mise à jour puisse être utilisée pour la comparaison. Cette règle est essentielle lorsque la réponse d'exploration est susceptible de varier dans le temps et que la comparaison de la réponse de test avec la réponse d'exploration obsolète risque de produire un résultat faussement positif.

Implicite : 30 (secondes)

Si vous êtes certain que les réponses de l'application ne deviendront jamais obsolètes, vous pouvez remplacer la valeur de ce paramètre par zéro afin de réduire la durée d'examen. Les demandes de l'étape d'exploration ne seront jamais envoyées une nouvelle fois.

Envoyer des tests de programme d'écoute des ports

Par défaut, AppScan n'envoie pas de tests d'écoute des ports en raison des risques d'échec et du temps de validation.

Implicite : Faux

Si le site externe fait partie de votre réseau et connaît par conséquent les adresses IP locales, vous pouvez souhaiter activer ce type de test d'injection SQL en aveugle.

Seuil de similarité

AppScan doit souvent comparer deux réponses et déterminer si elles sont "similaires" ou "différentes", afin de définir si un test a abouti ou non. AppScanutilise alors des algorithmes pour attribuer un pourcentage de similarité (où 100 % indique que les deux réponses sont identiques). Dans certains cas, il détermine les résultats du test en fonction du "Seuil de similarité" et dans d'autres, en fonction du "Seuil de différence". Il est possible de configurer ces deux seuils.

Pour la plupart des tests, le seuil de similarité par défaut est de 95 % et le seuil de différence par défaut est de 75 %. Cela implique les points suivants :
  • Pour les résultats de test dépendant de la similarité, un pourcentage de similarité de 95 % ou plus indique que les deux pages sont similaires.
  • Pour les résultats de test dépendant de la différence, un pourcentage de similarité de 75 % ou moins indique que les deux pages sont différentes.

Toute valeur saisie pour ce paramètre située entre 1 et 100 (pourcentage) se substitue au seuil de similarité pour tous les tests.

Implicite : 0 (Utiliser les seuils AppScan)

Si votre site ne contient pas de texte "dynamique" pouvant générer de petites différences dans des réponses similaires, vous pouvez augmenter ce pourcentage pour réduire le nombre de messages faussement positifs.

Conseil : Vous pouvez également, si vous le souhaitez, régler le seuil de différence (voir ci-dessus).

XSS : Tester toutes les sondes reflétées

Généralement, plusieurs occurrences du texte de charge trouvées dans une réponse du site ont le même niveau de vulnérabilité. Par conséquent, AppScan n'en teste qu'une seule.

Implicite : Faux

Paramétrez cette valeur sur True si vous voulez tester toutes les occurrences du texte de charge dans une même réponse.

* Connexion automatique : lien sur la page Web que le navigateur envoie automatiquement, sans aucune interaction de l'utilisateur.