Flux de travaux pour les utilisateurs avancés

Ce flux de travaux est destiné à aider les utilisateurs expérimentés dans le domaine de la sécurité Web à réaliser un examen plus approfondi.

La réussite de l'étape de test, et donc de l'examen lui-même, dépend de la couverture obtenue lors de l'étape d'exploration. Si l'étape d'exploration omet des portions non négligeables de la logique de l'application, l'étape de test risque de ne pas révéler d'éventuelles failles importantes. Ce flux de travaux vous aide à améliorer la couverture de l'étape d'exploration.


diagramme du flux de travaux

Tâche

Description

1. Configuration initiale

A l'aide de l'assistant ou de la boîte de dialogue Configuration des examens :
  1. Définissez l'URL de départ
  2. Enregistrez la procédure de connexion
  3. Validez le schéma En session et, si nécessaire, sélectionnez un nouveau schéma.
  4. Si votre site dispose d'une fonction de blocage de compte, désactivez-la, ou configurez AppScan de sorte qu'il ne teste pas les pages de connexion. Sinon, le compte utilisé par AppScan se verrouille pendant l'étape de test et cette étape est bloquée.

Pour une description détaillée de cette étape, voir Configuration initiale.

2. Exploration uniquement

Exécutez une première exploration automatique :
  1. Dans la barre d'outils contextuelle, cliquez sur Exploration uniquement et laissez la nouvelle phase d'exploration se terminer. AppScan explorera le site, mais ne le testera pas encore.
    Remarque : Si la réécriture URL est mise en œuvre dans le site, lancez l’optimisation de l’exploration (Outils > Extensions > Module d’optimisation de l’exploration : Exécuter) et, si l’extension le requiert, exécutez à nouveau l’étape d’exploration automatique (Examen > Nouvelle exploration).
  2. Si l'exploration prend fin parce que AppScan est hors session, réenregistrez et reconfigurez la procédure de connexion, en portant une attention toute particulière à la détection en session et au suivi de l'ID de session.

Pour une description détaillée de cette étape, voir Exploration automatique initiale.

3. Amélioration manuelle de la couverture du site à l'aide du navigateur

Ajoutez les URL non reconnues par l'exploration automatique :
  1. Exploration manuelle : utilisez l'exploration manuelle pour ajouter des pages individuelles, notamment celles qui demandent une saisie spécifique.
    Remarque : Pour les rares cas dans lesquels le navigateur intégré n'arrive pas à parcourir l'application, vous pouvez configurer l'utilisation d'un autre navigateur dans AppScan.
  2. Opérations en plusieurs étapes : si des portions du site ne peuvent être atteintes qu'en cliquant sur des liens dans un ordre spécifique, enregistrez les opérations en plusieurs étapes.

Pour une description détaillée de cette étape, voir Amélioration manuelle de la couverture du site.

4. Continuer Exploration uniquement

Avec les nouvelles données fournies via l'exploration manuelle, l'exploration automatique doit pouvoir explorer l'application de manière plus approfondie.
Remarque : Cliquez sur Continuer l'exploration automatique pour conserver les résultats initiaux de l'exploration et les données d'exploration manuelle. Ne cliquez pas sur Nouvel examen > Nouvelle exploration, car cela entraînerait la suppression des données existantes.

5. Evaluation des résultats de l'exploration

Examinez les résultats obtenus pour déterminer si la logique de l'application est bien couverte par l'exploration.
Remarque : Si vous effectuez de nouvelles modifications sur la configuration, vous devez relancer à nouveau l'exploration automatique (Examen > Nouvelle exploration).

Pour une description détaillée de cette étape, voir Evaluation des résultats de l'exploration.

6. (Si nécessaire) Opérations de configuration supplémentaires

Si la couverture du site n'est toujours pas suffisante, d'autres options de configuration sont envisageables.

Pour une description détaillée de cette étape, voir Configuration supplémentaire.

7. Etape de test

Cliquez sur Test uniquement pour passer à l'étape de test et terminer l'examen.