Accueil
Outils
La présente section explique comment utiliser les outils supplémentaires fournis avec HCL AppScan Standard.
PowerTools
AppScan offre un accès à cinq utilitaires (PowerTools), chacun fournissant une fonction spécifique vous aidant à gérer la sécurité de votre application ou à utiliser AppScan.
Authentication Tester
Le PowerTool Authentication Tester est un utilitaire de test ayant recours à la technique dite de "force brute", qui révèle les combinaisons faibles nom d'utilisateur-mot de passe susceptibles d'être exploitées pour accéder à votre application Web. (Une attaque par force brute est un processus automatique par essai et erreur qui permet de deviner les données d'authentification. Elle peut amener un serveur à reconnaître un imposteur comme un utilisateur légitime.)
Configuration avancée
Onglet Authentification de formulaire

Outils
La présente section explique comment utiliser les outils supplémentaires fournis avec HCL AppScan Standard.
- Boîte de dialogue Options
  La présente section décrit les options que vous pouvez contrôler pour personnaliser AppScan, à partir de la boîte de dialogue Options (Outils > Options).
- Extension de l'Assistant Services Web
  Cette extension vous permet de numériser à l'aide des fichiers de description Open API. Elle est disponible dans Outils > Extensions > Assistant Services Web (Open API), et l'extension est activée par défaut.
- Planificateur d'examens
- Tests définis par l'utilisateur
- PowerTools
  AppScan offre un accès à cinq utilitaires (PowerTools), chacun fournissant une fonction spécifique vous aidant à gérer la sécurité de votre application ou à utiliser AppScan.
  - Authentication Tester
    Le PowerTool Authentication Tester est un utilitaire de test ayant recours à la technique dite de "force brute", qui révèle les combinaisons faibles nom d'utilisateur-mot de passe susceptibles d'être exploitées pour accéder à votre application Web. (Une attaque par force brute est un processus automatique par essai et erreur qui permet de deviner les données d'authentification. Elle peut amener un serveur à reconnaître un imposteur comme un utilisateur légitime.)
  - Test de connexion
    L'outil Test de connexion PowerTool permet de lancer une commande ping sur les sites Web sans l'aide du protocole ping, qui est bloqué par de nombreux pare-feu.
  - Coder/Décoder
    L'outil Coder/Décoder PowerTool permet de coder et décoder des chaînes que vous avez intégrées, depuis et vers le format de votre choix.
  - Expression Test
    L'écriture précise d'expressions régulières peut être un processus de tâtonnement fastidieux. L'outil Expression Test PowerTool permet d'accélérer le processus.
  - HTTP Request Editor
    L'outil HTTP Request Editor PowerTool permet d'envoyer une requête HTTP entièrement contrôlée vers votre site, et ainsi de tester la manière dont le site répond à différents types de requête HTTP.
- Personnaliser le menu Outils
- Extensions
- Journaux
  Les journaux peuvent vous aider à traiter les incidents.
- Recherche de résultats
  Vous pouvez filtrer la liste des résultats à partir de n'importe quelle vue à la recherche de données spécifiques.

Onglet Authentification de formulaire

Cet onglet contient les expressions régulières Connexions réussies que vous entrez pour décrire la page envoyée en réponse à une combinaison nom d'utilisateur-mot de passe accepté. (Les informations entrées ici concernent uniquement le cas d'un test d'Authentification de formulaire).


Option	Description
Détection de connexion réussie
Réponse en cas de réussite	Lorsque cette option est sélectionnée, les Réponses en cas de réussite déjà configurées s'affichent dans l'écran situé en dessous.
Réponse en cas d'erreur	Lorsque cette option est sélectionnée, les Réponses en cas d'erreur déjà configurées s'affichent dans l'écran situé en dessous.
Ajouter/Retirer	Voir les rubriques Description des réponses de connexion de l'application pour savoir comment ajouter des réponses aux listes ou A propos des métacaractères pour en savoir plus sur la rédaction d'expressions régulières.
Données d'identification contrefaites par défaut
Nom d'utilisateur/Mot de passe	Ces zones affichent les chaînes que vous devrez entrer lors de la création de la demande de connexion pour configurer l'Authentification de formulaire (voir la rubrique Authentification de formulaire). Il n'est pas nécessaire d'indiquer des données d'identification valides, car elles ne sont pas utilisées pour vous connecter réellement au site. Ces zones permettent simplement d'indiquer à Authentication Tester l'emplacement des données d'identification dans la demande de connexion (en cas d'attaque par force brute contre le site). Les valeurs par défaut sont `BruteUsername` et `BrutePassword`. Si la logique côté client ne permet pas d'utiliser ces valeurs dans une demande de connexion au site (par exemple, si l'application nécessite un e-mail comme nom d'utilisateur et si la logique côté client applique cette règle lors de la création de la demande de connexion), remplacez ces valeurs par un format valide. Lorsque vous modifiez les données d'identification contrefaites par défaut, assurez-vous qu'aucune valeur n'est une sous-chaîne de l'autre. Par exemple, si vous entrez utilisateur@email.com comme nom d'utilisateur, vous ne pouvez pas choisir utilisateur comme mot de passe.