Accueil
Outils
La présente section explique comment utiliser les outils supplémentaires fournis avec HCL AppScan Standard.
PowerTools
AppScan offre un accès à cinq utilitaires (PowerTools), chacun fournissant une fonction spécifique vous aidant à gérer la sécurité de votre application ou à utiliser AppScan.
Authentication Tester
Le PowerTool Authentication Tester est un utilitaire de test ayant recours à la technique dite de "force brute", qui révèle les combinaisons faibles nom d'utilisateur-mot de passe susceptibles d'être exploitées pour accéder à votre application Web. (Une attaque par force brute est un processus automatique par essai et erreur qui permet de deviner les données d'authentification. Elle peut amener un serveur à reconnaître un imposteur comme un utilisateur légitime.)
Authentification de formulaire
Fourniture d'une connexion typique

Outils
La présente section explique comment utiliser les outils supplémentaires fournis avec HCL AppScan Standard.
- Boîte de dialogue Options
  La présente section décrit les options que vous pouvez contrôler pour personnaliser AppScan, à partir de la boîte de dialogue Options (Outils > Options).
- Extension de l'Assistant Services Web
  Cette extension vous permet de numériser à l'aide des fichiers de description Open API. Elle est disponible dans Outils > Extensions > Assistant Services Web (Open API), et l'extension est activée par défaut.
- Planificateur d'examens
- Tests définis par l'utilisateur
- PowerTools
  AppScan offre un accès à cinq utilitaires (PowerTools), chacun fournissant une fonction spécifique vous aidant à gérer la sécurité de votre application ou à utiliser AppScan.
  - Authentication Tester
    Le PowerTool Authentication Tester est un utilitaire de test ayant recours à la technique dite de "force brute", qui révèle les combinaisons faibles nom d'utilisateur-mot de passe susceptibles d'être exploitées pour accéder à votre application Web. (Une attaque par force brute est un processus automatique par essai et erreur qui permet de deviner les données d'authentification. Elle peut amener un serveur à reconnaître un imposteur comme un utilisateur légitime.)
  - Test de connexion
    L'outil Test de connexion PowerTool permet de lancer une commande ping sur les sites Web sans l'aide du protocole ping, qui est bloqué par de nombreux pare-feu.
  - Coder/Décoder
    L'outil Coder/Décoder PowerTool permet de coder et décoder des chaînes que vous avez intégrées, depuis et vers le format de votre choix.
  - Expression Test
    L'écriture précise d'expressions régulières peut être un processus de tâtonnement fastidieux. L'outil Expression Test PowerTool permet d'accélérer le processus.
  - HTTP Request Editor
    L'outil HTTP Request Editor PowerTool permet d'envoyer une requête HTTP entièrement contrôlée vers votre site, et ainsi de tester la manière dont le site répond à différents types de requête HTTP.
- Personnaliser le menu Outils
- Extensions
- Journaux
  Les journaux peuvent vous aider à traiter les incidents.
- Recherche de résultats
  Vous pouvez filtrer la liste des résultats à partir de n'importe quelle vue à la recherche de données spécifiques.

Fourniture d'une connexion typique

Pourquoi et quand exécuter cette tâche

Si vous sélectionnez Authentification de formulaire dans la section Méthode d'authentification de la fenêtre principale, le bouton Configurer s'affiche. Il permet de configurer Authentication Tester avec la procédure de connexion correcte.

Procédure

Cliquez sur Configurer.

Le navigateur d'Authentication Tester s'ouvre.
Accédez à la page de connexion de votre application Web.
Exécutez la procédure de connexion en utilisant les données d'identification suivantes (vous pouvez les copier-coller depuis la partie supérieure de la fenêtre du navigateur) :

nom d'utilisateur :

BruteUsername

mot de passe :

BrutePassword

Authentication Tester exige de modéliser la procédure de connexion au site avec ces valeurs. Pendant la phase de test, ces chaînes seront remplacées par des combinaisons possibles de nom d'utilisateur et de mot de passe lorsqu'Authentication Tester tente d'accéder au site par force brute. Lorsque vous avez terminé la procédure de connexion, Authentication Tester ne tente pas réellement de se connecter avec ces données d'identification, mais se contente d'examiner la demande de connexion.
ATTENTION : Si les chaînes "BruteUsername" et "BrutePassword" ne sot pas autorisées par votre vérification côté client, aucune demande de connexion ne sera créée pour Authentication Tester. Dans ce cas, vous devez modifier les valeurs des marques de réservation des chaînes du nom d'utilisateur et du mot de passe. Voir Onglet Authentification de formulaire.
Lorsque vous avez terminé la procédure de connexion, Authentication Tester "capture" la demande de connexion, et un message de confirmation s'affiche.
Dans le message de confirmation, cliquez sur OK

Le navigateur se ferme et la fenêtre Détection de connexion réussie s'ouvre. Cela permet de décrire les réponses de connexion. Voir Description des réponses de connexion de l'application