Aller au contenu principal
Bienvenue
Bienvenue dans la documentation relative à HCL AppScan Standard, version 10.0.4.
La présente section fournit un court descriptif des fonctions et des procédures de base du produit.
Présentation
Nouveautés
Cette section décrit les nouvelles fonctionnalités et améliorations du produit dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).
Configuration requise
Récapitulatif des configurations matérielle et logicielle minimales requises pour la machine qui exécute AppScan Standard.
Installation.
L'assistant d'installation vous guide tout au long de la procédure, simple et rapide.
Licence
Cette section décrit la version d'essai et la version payante d'AppScan Standard.
Fonctionnement d'un examen automatique
Cette rubrique explique la différence entre les "étapes" et les "phases" d'un examen.
Différences entre applications Web et services Web
Cette rubrique présente les différentes méthodes d'exploration de sites avant que ceux-ci soient testés par AppScan.
Flux de travaux de base
Diagramme affichant un flux de travaux AppScan simple utilisant l'assistant de configuration d'examen.
Présentation de la fenêtre principale
Décrit les différents composants de la fenêtre principale AppScan, ainsi que l'ensemble des menus et barres d'outils.
Ecran d'accueil
Décrit les options disponibles à partir de l'écran d'accueil qui s'ouvre lorsque vous chargez AppScan.
Tutoriel
Ce tutoriel présente les étapes de configuration de l'examen simple d'une application à l'aide de l'assistant de configuration des examens, d'exécution de l'examen et de révision des résultats.
Exemples d'examen
Les exemples d'examen fournis illustrent l'utilisation d'AppScan et les types de résultat générés.
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
Assistants de configuration des examens
Vous pouvez configurer rapidement des examens de base à l'aide des assistants.
Boîte de dialogue Configuration des examens
Structure des fichiers d'examen
Explique la structure de base d'un fichier SCAN standard AppScan.
Modèles d'examen
Un modèle d'examen est simplement une configuration d'examen sauvegardée de sorte à pouvoir la réutiliser.
Modification de la configuration pendant un examen
L'exploration manuelle vous permet d'explorer des parties spécifiques de l'application en remplissant en même temps les zones et les formulaires. Cela permet de vous assurer que des zones spécifiques du site sont couvertes et qu'AppScan dispose des informations requises pour remplir correctement les formulaires.
Utilisation d'un navigateur
Pour les applications Web, vous pouvez généralement utiliser le navigateur intégré Chromium à des fins d'exploration manuelle. Lorsque cela est nécessaire, vous pouvez utiliser le navigateur IE intégré ou un navigateur externe.
Utilisation d'un client externe
Vous pouvez explorer manuellement des services RESTful ou d'autres services Web non-SOAP, ou des services SOAP ne nécessitant pas d'enveloppes de sécurité, avec un téléphone mobile, un simulateur ou un émulateur. AppScan affiche les domaines et les requêtes dans son enregistreur de trafic externe et crée les tests appropriés en fonction de l'entrée.
La présente section décrit comment démarrer un examen, ce qui se produit lors de l'examen, comment manipuler manuellement l'étape d'exploration et comment exporter les résultats d'un examen.
AppScan affiche les résultats dans trois vues :
Données d'application
AppScan offre trois manières de visualiser et d'utiliser les résultats de l'examen : Données d'application, Problèmes de sécurité et Tâches de résolution. La présente section décrit la Vue Données d'application.
Problèmes de sécurité
AppScan offre trois manières de visualiser et d'utiliser les résultats de l'examen : Problèmes de sécurité, Tâches de résolution et Données d'application. La présente section décrit la vue Problèmes de sécurité.
Tâches de résolution
AppScan offre trois manières de visualiser et d'utiliser les résultats de l'examen : Problèmes de sécurité, Tâches de résolution et Données d'application. La présente section décrit la vue Tâches de résolution.
La présente section explique comment générer des rapports à partir des résultats de l'examen.
Présentation des rapports
Rapports de sécurité
Le rapport de sécurité fournit des informations sur les problèmes de sécurité détectés. Vous pouvez effectuer une sélection parmi plusieurs modèles en fonction du type de contenu requis.
Rapports sur les normes de l'industrie et sur la conformité
Les rapports sur les normes de l'industrie permettent de déterminer si votre application est conforme aux normes d'un comité de secteur d'activité. Les rapports sur la conformité à la réglementation permettent de déterminer si votre application est conforme à des réglementations spécifiques ou à des normes légales.
Rapport de l'analyse des écarts
Le rapport de l'analyse des écarts compare deux ensembles de résultats d'examen et affiche la différence dans les URL et/ou problèmes de sécurité qui y sont détectés.
Rapports basés sur un modèle
L'onglet Basé sur un modèle de la boîte de dialogue Créer un rapport permet de créer des rapports aux formats DOC et DOCX deMicrosoft® Word, avec les données souhaitées et le formatage de document défini.
La présente section explique comment utiliser les outils supplémentaires fournis avec HCL AppScan Standard.
Boîte de dialogue Options
La présente section décrit les options que vous pouvez contrôler pour personnaliser AppScan, à partir de la boîte de dialogue Options (Outils > Options).
Extension de l'Assistant Services Web
Cette extension vous permet de numériser à l'aide des fichiers de description Open API. Elle est disponible dans Outils > Extensions > Assistant Services Web (Open API), et l'extension est activée par défaut.
Planificateur d'examens
Tests définis par l'utilisateur
PowerTools
AppScan offre un accès à cinq utilitaires (PowerTools), chacun fournissant une fonction spécifique vous aidant à gérer la sécurité de votre application ou à utiliser AppScan.
Personnaliser le menu Outils
Extensions
Journaux
Les journaux peuvent vous aider à traiter les incidents.
Recherche de résultats
Vous pouvez filtrer la liste des résultats à partir de n'importe quelle vue à la recherche de données spécifiques.
Cette section décrit les intégrations d'autres applications à AppScan Standard :
AppScan Entreprise
Cette section décrit les modes d'interaction entre les éditions AppScan Standard et Enterprise.
AppScan on Cloud
Cette section présente comment AppScan Standard peut interagir avec HCL AppScan on Cloud pour examiner les applications sur le cloud.
Infrastructures d'automatisation
Vous pouvez utiliser des scripts créés pour votre infrastructure d'automatisation Assurance qualité (comme Selenium) afin de créer des enregistrements d'exploration manuelle pour un examen AppScan.
La présente section fournit un certain nombre de valeurs recommandées et des scénarios d'utilisation pour les utilisateurs avancés.
Flux de travaux pour les utilisateurs avancés
Ce flux de travaux est destiné à aider les utilisateurs expérimentés dans le domaine de la sécurité Web à réaliser un examen plus approfondi.
Sites utilisant une navigation basée paramètres
Les sites dans lesquels l'accès à toutes les pages s'effectue à l'aide d'une adresse URL nécessitent une configuration d'examen spécifique.
Examen des environnements de production opérationnels
Les risques et les suggestions ci-dessous doivent être pris en compte avant l'examen d'un site opérationnel à l'aide d'AppScan.
Compréhension de l'option Optimisation du test
Cette section décrit comment l'option Optimisation du test fonctionne et comment mieux l'intégrer au cycle de vie de votre développement.
Foire aux questions générale
Cette rubrique traite des questions d'application générales.
Fonctions de traitement des incidents
Traitement des incidents liés aux licences
Espace disque insuffisant
Traitement des incidents liés à la signature numérique
Importation d'un modèle d'examen existant
Cette section décrit comment importer le modèle d'examen à partir d'un examen enregistré dans une version d'AppScan antérieure à la version 8.6.
Génération de rapports de résultats faux positifs
Mode support étendu
Le mode de support étendu consigne toutes les activités AppScan en vue de leur compression et envoi à votre fournisseur de support pour une assistance à la résolution d'une procédure problématique.
Modification du navigateur par défaut
Vous pouvez configurer AppScan pour utiliser un navigateur différent du navigateur intégré.
Traitement des incidents liés à la connexion
Astuces pour identifier les problèmes de détection de session dans la vue Configuration des examens > Gestion de connexion.
L'enregistreur du trafic externe n'enregistre pas
Si votre périphérique externe est correctement configuré, l'enregistreur de connexion externe et l'enregistreur du trafic externe d'AppScan affichent le trafic envoyé depuis l'appareil à mesure que vous l'envoyez. Cette section propose des suggestions dans le cas où cela ne fonctionnerait pas.
Etapes d'exploration longues ou sans fin
Pour certains types de sites, l'étape d'exploration peut être très longue ou ne jamais se terminer.
Traitement des incidents liés aux opérations en plusieurs étapes
Vous trouverez ici des suggestions pour le traitement des incidents liés aux opérations en plusieurs étapes basées sur les actions.
Remplacement d'extensions non signées
Si vous voulez utiliser une extension non signée déjà utilisée dans une version précédente de AppScan, vous pouvez choisir de la considérer comme étant digne de confiance ou déterminer si une version signée disponible peut lui être substituée.
Journaux
Cette section inclut des explications sur les messages du journal d'examen (Afficher > Journal d'examen).
La présente section décrit la syntaxe et les options disponibles avec l'interface de ligne de commande.
Résumés des menus et des barres d'outils, et glossaire
Barre d'outils principale
Barre d'outils du navigateur
Icônes de la barre d'outils du navigateur AppScan® intégré utilisées pour afficher et sauvegarder des captures d'écran de réponses d'application.
Menu Fichier
Utilisé pour la création, l'ouverture et la sauvegarde d'examens.
Menu Edition
Utilisé pour la personnalisation des résultats de l'examen.
Menu Affichage
Utilisé pour déterminer comment la fenêtre principale s'affiche et quelles données sont affichées.
Menu Examen
Utilisé pour contrôler l'examen.
Menu Outils du
Fournit divers outils de génération de rapports et de personnalisation, y compris les PowerTools HCL.
menu Aide
Utilisé pour accéder à la documentation, obtenir de l'aide et obtenir une nouvelle licence.
Raccourcis clavier
Contrôles d'accessibilité
Décrit tous les raccourcis-clavier et contrôles.
Fichiers temporaires
Indique l'emplacement où AppScan® enregistre ses fichiers temporaires lors d'une opération normale et comment modifier cet emplacement.
Glossaire
Ce glossaire explique les termes et acronymes utilisés dans la documentation et l'interface utilisateur AppScan® Standard.
Conformité
Prise en charge de CWE
CWE (Common Weakness Enumeration) est une liste de normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues, Les ID CWE suivants, ainsi que leurs ID parent ou enfant, sont pris en charge dans la version actuelle d'AppScan Standard :
Coordonnées des contacts
Avis