Onglet Demande/Réponse
L'onglet Demande/Réponse est le troisième de la sous-fenêtre des détails.
L'onglet Demande/Réponse fournit des informations concernant les tests et leurs variantes spécifiques qui ont été transmis à votre application Web afin d'en découvrir les failles. Un test peut faire l'objet de différentes variantes. Une variante est une légère modification de la demande de test originale qu' AppScan envoie à votre serveur d'application Web. (AppScan envoie tout d'abord une demande censée être légale et suivre la logique métier de votre application. Ensuite, il envoie une demande similaire, modifiée afin de découvrir comment votre application gère les demandes illégales ou comportant des erreurs. Chaque demande de test peut se voir associer un certain nombre de variantes, autant que nécessaire pour couvrir toutes les règles de sécurité à tous les niveaux de la base de données AppScan.)
Prenons l'exemple d'un test qui est lancé pour vérifier que vous avez bien fait respecter les règles d'entrée utilisateur pour un paramètre spécifique. Une variante peut vérifier que les apostrophes ne constituent pas des entrées valides, cependant qu'une autre peut vérifier que les guillemets ne sont pas admis.
La variante elle-même est affichée avec un texte en rouge, et la validation (partie de la réponse indiquant l'existence d'un problème de sécurité) est mise en évidence en jaune.
En plus des nombreuses informations explicatives, l'onglet Demande/Réponse fournit des fonctions avancées pour la compréhension et l'utilisation des résultats d'un examen.
L'onglet Demande/Réponse comporte deux sous-fenêtres et une barre d'outils figure dans sa partie supérieure. La barre d'outils et les onglets sont présentés ci-dessous ; le tableau suivant contient un récapitulatif.
Outil |
Fonction |
|---|---|
Variante < > |
Indique le nombre de variantes du test en cours. Cliquez sur les icônes < et > pour basculer respectivement de la variante précédente à la variante suivante. |
Test/Original |
Bascule entre les informations du test et les informations d'origine. |
Mise en évidence suivante |
(Disponible lorsque le texte de validation est mis en évidence). Déplace le curseur jusqu'au texte mis en évidence suivant. |
Afficher dans le navigateur |
Ouvre le navigateur intégré pour afficher la page en cours, ainsi que l'option permettant d'effectuer une capture d'écran à partir du navigateur. Lorsque le navigateur s'ouvre, vous pouvez prendre une capture d'écran de la page en cliquant sur l'icône de la caméra |
Options > Rapport Faux positif |
Permet d'envoyer la variante en cours par courrier électronique au service d'assistance AppScan® ou dans votre entreprise. (Voir Rapport Faux positif des résultats de test.) |
Options > Test manuel |
Modifie le test et l'enregistre en tant que test manuel. (Voir Tests manuels.) |
Options > Supprimer la variante |
Supprime définitivement la variante sélectionnée des résultats du test (irréversible). Cette action peut également être effectuée en cliquant avec le bouton droit de la souris sur la variante dans la sous-fenêtre Résultat. |
Options > Définir comme non vulnérable |
Modifie la définition de la variante sélectionnée par non vulnérable. Les réponses positives définies par l'utilisateur comme non vulnérables sont supprimées des résultats de l'examen et n'apparaissent plus dans les rapports, mais peuvent être visualisées (et réinstallées) via la liste des variantes non vulnérables. (Voir Liste de variantes non vulnérables.) |
Options > Définir comme page d'erreur |
Ajoute la page en cours à la liste des pages d'erreur (boîte de dialogue Configuration de l'examen > Pages d'erreur) et met à jour les résultats pour refléter le fait que cette réponse est une page d'erreur. |
Options > Ajouter aux informations sur le problème |
Exécute Result Review sur le problème en cours et ajoute toute nouvelle information disponible à l'onglet Informations sur les problèmes. |
Rechercher : |
Entrez le texte pour rechercher une chaîne spécifique. (Voir Filtrage des problèmes de sécurité dans la Liste des résultats.) |
Détails de la variante |
La sous-fenêtre de droite affiche des informations détaillées sur la variante en cours : ID, Description, Différence (différence entre cette variante et la demande d'origine), Raisonnement et ID CWE. |
dans la barre d'outils du navigateur. La capture d'écran est ajoutée à l'onglet Informations sur les problèmes.