Examen des environnements de production opérationnels

Les risques et les suggestions ci-dessous doivent être pris en compte avant l'examen d'un site opérationnel à l'aide d'AppScan.

Lorsque vous examinez un site opérationnel, vous pouvez utiliser le modèle de site de production prédéfini. Ce modèle contient une stratégie de test de site de production sélectionnée ainsi que des paramètres de configuration conçus pour minimiser le risque de dégradation d'un site opérationnel ou de refus de service aux utilisateurs réels.

Si vous choisissez d'utiliser votre propre configuration ou stratégie de test, les sections suivantes vous permettent de configurer votre examen de façon efficace.

Il se peut que la base de données soit remplie d'informations inutiles envoyées pendant l'examen.

Pour limiter l'impact produit, prenez les précautions suivantes :

  • Désactivez la fonction de remplissage automatique des formulaires (Configuration des examens > Remplissage automatique des formulaires > première case à cocher).

    Ceci empêche AppScan® de remplir les formulaires automatiquement en soumettant des données pouvant saturer une base de données, un tableau d'affichage ou un forum en ligne, ou en envoyant des courriers électroniques indésirables à un compte d'administrateur ou de modérateur. Sachez cependant que ceci neutralise la capacité d’AppScan® Standard à atteindre des zones du site accessibles via une soumission de formulaires. Dans ce mode de fonctionnement, AppScan® examine uniquement les zones du site accessibles en suivant des liens (avec ou sans paramètres).

  • Créez un compte de test qui sera utilisé par AppScan®.

    L'utilisation d'un compte de test facilite le suivi des modifications de la base de données (par exemple, pour s'assurer que des services ne sont pas commandés), ainsi que le nettoyage du site par les administrateurs une fois l'examen terminé.

    Lorsque vous créez le compte, il est recommandé de :
    • Limiter l'accès à la base de données pour les enregistrements de test afin de permettre la restauration des enregistrements modifiés.
    • Vérifier que les nouveaux enregistrements créés par le compte de test seront supprimés.
    • Vérifier que les bons de commande (ou autres transactions) issus du compte de test seront ignorés.
    • Donner l'accès au compte pour les enregistrements de test uniquement si les transactions ont un impact (par exemple, s'il s'agit d'actions).
    • Donner l'accès au compte de test uniquement pour tester les forums, si le site comporte des forums, afin que les clients réels ne voient pas les tests créés pendant l'étape de test.
    • Définir plusieurs comptes de test avec des privilèges différents, si le site possède plusieurs comptes ayant des privilèges différents. Ceci garantit un examen plus exhaustif du site.
    • Ne pas créer de compte de test avec un accès de niveau administrateur.

Risque de saturation de la messagerie électronique

Lorsqu'il teste des pages utilisant la notification par courrier électronique, AppScan® génère un grand nombre de requêtes, ce qui peut surcharger le serveur de messagerie du site.

Voici quelques suggestions pour éviter cela :

  • Modifiez temporairement les adresses électroniques pour les pages testées afin d'envoyer les courriers électroniques vers des adresses non valides.
  • Si possible, configurez AppScan® de manière à exclure ces pages de l'examen de l'environnement de production.
  • Examinez un seul serveur Web à la fois et empêchez-le de se connecter au serveur SMTP pendant l'examen.
  • Si vous décidez de garder la fonction de remplissage automatique de formulaires active, configurez-la de façon à insérer une valeur unique dans la zone de courrier électronique afin que les destinataires puissent identifier aisément les courriers générés par AppScan®.

Examen via un proxy

Lorsque cela est possible, évitez d'effectuer un examen via un proxy. Bien que ce mode d'examen soit pris en charge, le recours à un proxy risque de nuire à la clarté des résultats.

Risque de verrouillage de l'examen pour l'application

Certaines applications sont configurées pour verrouiller les utilisateurs après un certain nombre de tentatives de connexion avortées. Si ceci se produit lors de l'examen, AppScan® ne pourra manifestement pas mener celui-ci à terme.

Pour éviter cela :

  • Désactivez Envoyer les tests sur les pages de connexion et de déconnexion (Configuration des examens > Options de test).

Risque d'échec d'une application

Pour éviter qu’AppScan® n'entraîne l'échec de votre application en ligne, vous pouvez désactiver les tests invasifs dans la stratégie de test. Les tests de refus de service, de dépassement de la mémoire tampon et les autres tests risquant de causer l'échec de l'application ou du serveur Web ne sont pas envoyés.

Important : Les applications Web comportent souvent des points vulnérables que seuls les tests invasifs permettent de découvrir. Il est, par conséquent, déconseillé de faire totalement l'impasse sur les tests invasifs. Testez vos applications pour ces vulnérabilités en coordination avec le propriétaire ou l'administrateur de votre site Web, en planifiant les examens, par exemple, pendant les heures creuses où l'application n'est pas sollicitée.

Pour désactiver les tests invasifs dans la stratégie de test :

  1. Sélectionnez Configuration > Stratégie de test.
  2. Cliquez sur la colonne Invasif afin de regrouper tous les tests invasifs.
  3. Faites défiler la liste des tests invasifs (ceux pour lesquels "Oui" est défini pour la valeur Invasif) et désélectionnez tous les tests sélectionnés afin de les exclure de l'examen.