Rapports de sécurité

Le rapport de sécurité fournit des informations sur les problèmes de sécurité détectés. Vous pouvez effectuer une sélection parmi plusieurs modèles en fonction du type de contenu requis.

Pourquoi et quand exécuter cette tâche


Icône Rapport de sécurité

Vous pouvez créer un rapport de sécurité englobant tout l'examen ou un rapport concernant une adresse URL ou un dossier particulier dans l'arborescence d'application.

Chaque modèle de rapport est un ensemble de rubriques appropriées aux différents destinataires au sein de votre organisation. Les rubriques contiennent les résultats d'examen de chacune des vues (Problèmes de sécurité, Tâches de résolution, Données d'application), formatés pour en faciliter l'impression, la lisibilité ainsi que la compréhension de leur signification, de la raison pour laquelle ils sont appropriés, et de la manière de les corriger.

Options du rapport de sécurité

Le tableau suivant récapitule les options de la boîte de dialogue Rapports de sécurité.

Option

Description

Modèle
Sélectionnez l'un des différents modèles de rapport ou définissez votre propre modèle, en cochant/décochant les cases dans la sous-fenêtre de droite, comme indiqué dans le tableau suivant.
  • Valeur par défaut rapport de niveau intermédiaire contenant un récapitulatif de haut niveau et des informations sur les problèmes, sans les détails des variantes.
  • Récapitulatif : récapitulatif de haut niveau mettant en évidence les risques de sécurité trouvés dans votre application Web et contenant les statistiques des résultats d'examen, présentés sous forme de tableaux et de graphiques.
  • Détaillé : Un rapport approfondi contenant le récapitulatif ainsi que des problèmes de sécurité, des suggestions de correction, des tâches de résolution et des données d'application.
  • Tâches de résolution : Tâches de résolution : actions conçues pour résoudre les problèmes détectés dans l'examen.
  • Développeur : problèmes de sécurité, variantes, mode de résolution de problèmes, sans les sections Récapitulatif ou Tâches de résolution.
  • Assurance qualité : problèmes de sécurité, mode de résolution de problèmes et données d'application, sans les informations détaillées sur les variantes ni les sections Récapitulatif ou Tâches de résolution.
  • Inventaire de fichiers : données d'application uniquement.
  • Modèle personnalisé : cette option vous permet de créer un modèle personnalisé de Rapport de sécurité à l’aide des cases à cocher afin de définir le rapport que vous souhaitez, puis en cliquant sur Créer comme modèle. Une fois sauvegardé, ce modèle peut servir à générer des rapports, aussi bien à partir de l’interface utilisateur que de l’interface en ligne de commande.
    • Sauvegarder comme modèle : sauvegarde la configuration actuelle du Rapport de sécurité en tant que modèle personnalisé.
    • Supprimer le modèle : supprime le modèle personnalisé actuel.

Min. Gravité

Sélectionnez le niveau le plus faible de gravité pour les problèmes à inclure dans le rapport.

Type de test

Sélectionnez les types de travaux à inclure dans la liste des résultats : Tous, Application, Infrastructure ou tests Composant Web tiers.

Trier par

Indiquez si les problèmes doivent être classés par type ou adresse URL.

Limiter le nombre de variantes par problème

Vous pouvez réduire la longueur du rapport en limitant le nombre de variantes répertoriées par problème, si ce niveau de détail risque de ne pas être utile au destinataire du rapport.

Ajouter un saut de page après chaque problème

Ce paramètre s'applique uniquement à une sortie PDF. Il rend le rapport plus lisible.

Afficher une fois terminé
Si vous cochez cette case, le rapport s'ouvre dans un afficheur approprié après avoir été généré.
Remarque : Cette opération n'est réalisable que si vous avez installé un programme pouvant ouvrir le rapport généré.

Après avoir sélectionné un modèle comme base, vous pouvez personnaliser la structure de rapport individuelle en sélectionnant/désélectionnant les zones d'informations à inclure. Dans ce cas, le nom du modèle devient "Personnalisé".

Sections du rapport de sécurité

Le tableau suivant présente un récapitulatif du contenu standard des divers rapports de sécurité. Dans tous les cas, le contenu réel peut être modifié en cochant/décochant les cases du panneau Contenu du rapport.
Remarque : Un rapport détaillé complet pouvant comprendre des centaines de pages, pensez à inclure seulement les sections appropriées aux destinataires du rapport.

Section Rapport

Description

Introduction

Courte section fournissant des informations générales sur l'examen, par exemple des détails tel que le nombre global de problèmes détectés (Elevé, Moyen, Faible et Message d'information) et les paramètres de connexion. Cette section figure dans tous les rapports.

Récapitulatif
Série de tableaux récapitulant les informations suivantes sur l'examen, ou la partie de l'examen comprise dans le rapport :
  • Types de problèmes (comprend le nombre problèmes trouvé pour chaque type et leur gravité)
  • Adresse URL vulnérables (comprend le nombre et le type de problèmes par adresse URL)
  • Recommandations de correction
  • Risques de sécurité
  • Causes
  • Classification des menaces WASC

Problèmes de sécurité

Problèmes trouvés dans votre application :

  • De base : si vous ne sélectionnez aucune des cases à cocher suivantes, seules les informations de base sont inclues.
  • Supplémentaire : comprend des informations plus détaillées, dont des captures d'écran, comme pour le contenu de l'onglet Informations sur les problèmes
  • Variantes : comprend des informations de variante spéciales :
    • Demande/Réponse
    • Différence : différence entre la demande d'origine et la demande de test, telle qu'elle est indiquée dans la sous-fenêtre Détail > onglet Demande/Réponse

Conseils et recommandations de correction
Explications techniques des problèmes trouvés et recommandations pour les corriger.
Remarque : Pour inclure des recommandations de correction spécifiques aux environnements .NET, Java EE et PHP, accédez à Outils > Options > Préférences et sélectionnez les options requises.

Tâches de résolution

Suggestions de tâches permettant d'améliorer la sécurité du site en fonction des problèmes trouvés. Une seule tâche peut parfois résoudre plusieurs problèmes.

Données d'application

Liste des données trouvées par AppScan dans votre application Web : adresses URL d'application, paramètres de script, liens rompus, commentaires, JavaScripts, cookies et adresses URL filtrées.

Procédure

  1. Sélectionnez le contenu de l'examen sur lequel baser le rapport :
    • Pour créer un rapport pour la totalité de l'examen, cliquez sur Outils > Rapport > Rapport de sécurité
    • Pour créer un rapport pour une adresse URL ou un dossier inclus dans l'examen, cliquez avec le bouton droit de la souris sur l'arborescence d'application, puis sélectionnez Rapport pour ce noeud > Sécurité.
  2. Sélectionnez le modèle pertinent, ou définissez votre propre contenu de rapport en activant/désactivant les cases à cocher dans la sous-fenêtre de droite.
  3. Sélectionnez les options requises.
  4. Pour sauvegarder la configuration en vue d’une réutilisation ultérieure, cliquez sur Sauvegarder comme modèle et définissez un nom unique pour le modèle.
  5. Pour personnaliser la présentation du rapport, cliquez sur l'onglet Présentation. Pour plus de détails, voir Configurer la présentation d'un rapport.
  6. Sélectionnez le format de sortie requis : PDF, HTML, TXT, RTF ou XML.
  7. Cliquez sur Sauvegarder le rapport.