Enregistrer les connexions à l'aide d'un navigateur

Avant de commencer

Pour pouvoir enregistrer une séquence de connexion d'une application, l'URL de départ doit être définie (dans la vue Configuration > URL et serveurs ou dans l'assistant). Si vous utilisez un client externe pour envoyer des requêtes vers l'application, vous ne devez pas nécessairement utiliser une adresse URL de départ, mais AppScan définira une adresse URL de départ pour lui-même après la fin de la phase d'exploration

Pourquoi et quand exécuter cette tâche

L'enregistrement d'une connexion au sein d'un navigateur vous permet d'apprendre à AppScan® sur quels liens cliquer, quel texte renseigner dans les formulaires et l'ordre dans lequel effectuer ces opérations, afin qu'il puisse se connecter au cours de l'examen. Une fois que vous êtes connecté, AppScan identifie un schéma En session pouvant servir ultérieurement pour vérifier qu'il est toujours connecté.

Au cours du balayage, AppScan doit savoir à tout moment s'il est connecté ou déconnecté du site afin de pouvoir évaluer correctement les réponses du site. Lors de l'examen, AppScan envoie la demande de détection En session de façon répétitive et vérifie que la réponse contient le schéma de détection En session afin de vérifier qu'il est toujours connecté. Si AppScan ne trouve pas le schéma dans la réponse de la page, AppScan suppose qu'il a été déconnecté, et tente de se reconnecter en rejouant la séquence de connexion. La séquence de connexion est, en général, exécutée plusieurs fois pendant l'examen. Il est donc préférable qu'elle contienne un nombre d'étapes aussi réduit que possible. Il est également utile que la page En session soit de petite taille et qu'elle ne contienne pas de paramètres suivis ou de cookies, car ces derniers peuvent prolonger considérablement la durée de l'examen.

Pour enregistrer la connexion :

Procédure

  1. Dans l'onglet Configuration des examens > Gestion de connexion > Connexion, cliquez sur le bouton d'option Enregistré.
  2. Cliquez sur le bouton d'enregistrement rouge > Client externe > puis sélectionnez le navigateur que vous utiliserez pour vous connecter :
    OptionDescription
    Navigateur Chromium d'AppScan Le navigateur intégré Chromium est le navigateur par défaut et recommandé.
    Navigateur IE d'AppScan Ne sélectionnez ceci que dans les cas pour lesquels le navigateur spécifique est nécessaire.
    Navigateur externe Actif uniquement si vous avez configuré AppScan® pour utiliser un navigateur externe lors du balayage (Outils > Options > Utiliser le navigateur externe > Sélectionner le navigateur).

    Si possible, il vaut mieux utiliser le navigateur Chromium d'AppScan, car il enregistre des informations supplémentaires qui améliorent la réussite de la connexion pendant le balayage. N'utilisez le navigateur externe que si l'enregistrement de la connexion avec les navigateurs d'AppScan ne fonctionne pas pour votre application.
    Le navigateur ouvre l'URL de départ et commence à enregistrer vos actions.
    Remarque :
    • Si l'URL de départ n'a pas encore été définie, vous êtes invité à le faire avant de pouvoir poursuivre (voir Vue URL et serveurs).
    • Si une procédure de connexion a précédemment été enregistrée, vous êtes averti que le nouvel enregistrement écrasera l'existant.
  3. Connectez-vous au site :
    Connectez-vous au site, en remplissant les formulaires et en cliquant sur les liens requis pendant votre session de connexion.
    Conseil : La page à laquelle vous accédez lorsque vous vous êtes connecté sera utilisée par défaut comme URL En session par AppScan. AppScan envoie cette URL à un intervalle de quelques secondes lors de l'examen pour vérifier qu'il est toujours connecté. Si la page renvoie un grand nombre de réponses, ou si elle inclut des paramètres suivis ou des cookies, vous pouvez améliorer les performances de l'examen en cliquant sur un ou plusieurs des liens complémentaires jusqu'à ce que vous atteigniez une page avec un plus petit nombre de réponses (en restant connecté) et n'incluant aucun paramètre suivi ni cookie. Après avoir fermé votre navigateur, allez dans l'onglet Vérifier et valider et sélectionnez la page ultérieure comme "URL en session".
  4. Une fois connecté avec succès au site :
    Cliquez sur Je suis connecté au site
    Remarque : Parfois, la page de connexion ne fournit pas suffisamment d'informations, et AppScan peut vous demander de cliquer sur une étape supplémentaire après la connexion ou de vous déconnecter.

    Le navigateur se ferme et AppScan® extrait les informations de connexion en vue de leur utilisation durant le balayage.

    La boîte de dialogue Informations sur la session s'ouvre et affiche les requêtes de connexion que vous avez enregistrées. L'icône grise devient une icône verte, indiquant que la détection En session est active.

    Remarque : Si l'icône Clé devient rouge icône Clé rouge, cela signifie qu'AppScan® a tenté, sans y parvenir, d'identifier un schéma dans la page En session lors du balayage pour vérifier qu'il n'était pas déconnecté. Dans ce cas, vous devez identifier le "schéma en session" de AppScan®. Pour plus d'informations, voir Boîte de dialogue Sélectionnez un schéma de détection. Dans certains cas un message plus spécifique s'affiche avec un lien vers une page de la présente aide pour traiter le problème. Voir Traitement des incidents liés à la connexion.
  5. Pour modifier la séquence enregistrée (par exemple pour supprimer les étapes inutiles), voir Onglet Vérifier et valider.
    Conseil : En général, l'adresse URL de connexion de l'utilisateur (et dont la réponse est la première à inclure un schéma En session) doit être celle marquée En session. Toutefois, il est parfois nécessaire de sélectionner une autre adresse URL qui comprend aussi le schéma En session, mais qui a l'avantage de correspondre à une page plus petite et de ne pas inclure de paramètres suivis ou de cookies. En outre, la demande POST contenant les données d'identification de l'utilisateur est parfois la demande qui vous permet de vous connecter et qui contient d'abord le schéma En session. Ce n'est pas le meilleur choix pour la page En session, car la vérification En session enverra les données d'identification chaque fois, entraînant un faux positif dans la réponse de la session. Voir Optimisation de la détection en session
  6. Pour enregistrer la nouvelle séquence de connexion, cliquez sur OK.
    Conseil : Si vous êtes sûr que la page En session ne contient aucun paramètre suivi ou cookie, améliorez les performances de l'examen en définissant le paramètre Configuration avancée > Gestion de session : Analyser la page En session sur "False". Voir Vue Configuration avancée.