Présentation

HCLAppScan Standard est un composant de test d'effraction de la suite de test de sécurité de l'application HCL AppScan, utilisé pour tester des applications et des API Web. Il présente des méthodes et des techniques de pointe pour identifier les vulnérabilités au niveau de la sécurité afin de contribuer à protéger les applications contre la menace de cyberattaques.

HCLAppScan Standard est un outil d'analyse dynamique qui évalue la sécurité des applications pendant l'exécution en attaquant l'application à l'aide de techniques similaires aux méthodologies utilisées par les pirates informatiques. Le résultat des tests comprend un ensemble riche de données qui passent de l'inventaire d'applications au trafic d'attaque, et peut être reproduit pour validation et réparation. Ces données peuvent être examinées et traitées dans l'interface utilisateur ou exportées dans plusieurs formats afin d'être partagées dans d'autres outils.

En plus des fonctions de test de pointe, AppScan comprend d'autres capacités pour vous aider à exécuter votre programme de test de la façon la plus efficace possible. En voici quelques-unes :
  • Rapport sur la conformité légale et générale, avec plus de 40 schémas différents prêts à l'emploi à votre disposition
  • Personnalisation et extensibilité via AppScan eXtension Framework, ou par intégration directe dans des systèmes existants à l'aide du kit SDK AppScan
  • Le mécanisme d'optimisation intégré permet de concentrer le test sur les problèmes les plus susceptibles de survenir dans les parties les plus probables de votre application.

AppScan Standard vous permet de diminuer le risque d'attaques d'applications Web et de violation de données avant le déploiement sur site et pour l'évaluation des risques continue pendant la production.

Technologies prises en charge

Certaines technologies utilisées par votre site peuvent avoir une incidence sur la capacité d'examen d'AppScan, tandis que d'autres n'en ont aucune.
  • AppScan est un outil de "boîte noire" (DAST) qui examine votre site en utilisant les mêmes mécanismes qu'un navigateur. Ainsi, les technologies côté serveur qui sont transparentes pour un navigateur sont généralement transparentes pour AppScan, et n'affectent pas l'examen.
  • Les technologies côté client, telles que JavaScript et le protocole HTTP lui-même, ont une incidence sur AppScan. Pour garantir la réussite de l'examen, AppScan utilise un véritable navigateur, intégré dans le produit, pour traiter les pages Web, comme le ferait un navigateur disponible dans le commerce. Cela garantit la prise en charge de toutes les technologies courantes. Une configuration supplémentaire peut parfois être nécessaire pour aider AppScan à comprendre le contexte d'un élément, pour un traitement adéquat au-delà d'une simple navigation, spécifiquement pour la Phase de test de l'examen en règle générale.
  • L'enregistrement de connexion et la lecture de connexion WebSocket sont pris en charge.

Un examen AppScan consiste en deux étapes principales : l'exploration et le test. Pour chaque étape, le tableau ci-dessous contient des instructions pour comprendre quelles technologies côté client et côté serveur peuvent avoir une incidence sur l'examen, et dans quels cas une configuration s'avère nécessaire.

Technologies côté serveur

Technologies côté client

Etape d'exploration

Les technologies côté serveur qui n'ont pas d'incidence sur le client, telles que la base de données spécifique utilisée, n'ont aucun effet sur l'examen.

De nombreux mécanismes qui ont une réelle incidence sur le client (comme la gestion de session) ne limitent pas l'examen tant qu'AppScan est configuré correctement. Par exemple, les serveurs Web et les serveurs d'applications ont une incidence sur la gestion des ID, auquel cas AppScan doit être configuré pour pouvoir en effectuer le suivi. De nombreux ID de session courants sont prédéfinis ou peuvent être automatiquement détectés par AppScan et ne nécessitent pas de configuration supplémentaire. Une configuration supplémentaire peut toutefois s'avérer nécessaire pour certains mécanismes personnalisés.

AppScan prend particulièrement en charge les URL personnalisées de WebSphere Portal. WSP code les URL d'une manière qui les rend difficiles à suivre lorsqu'elles apparaissent. AppScan décode les URL de sorte qu'elles peuvent être reconnues et optimisées.

AppScan utilise un navigateur entièrement intégré et toutes les principales technologies sont automatiquement prises en charge (HTML5), notamment de nombreuses infrastructures JavaScript telles que Angular, React et JQuery.

Si des pages sont omises lors de l'étape d'exploration automatique suite à une technologie spécifique ou une implémentation qui bloque l'exploration automatique, elles peuvent être ajoutées à l'examen par l'exploration manuelle du site après la phase d'exploration automatique, et avant l'étape de test.

Etape de test

AppScan est conçu pour tester l'application mais pas les technologies de prise en charge associées : celles-ci n'ont donc pas d'incidence sur le test. Au niveau des bases de données, la suite d'AppScan fournit des tests d'injection SQL qui sont indépendants de la base de données utilisée. Elle fournit également des tests spécifiques pour le contrôle tierce partie (celui des vulnérabilités courantes, par exemple).

Les vulnérabilités de JavaScript côté client sont testées à l'aide du navigateur intégré. Les tests sont également effectués à l'aide d'une approche boîte noire (DAST). L'environnement du navigateur est manipulé et JavaScript est exécuté en l'état pour mettre à jour les vulnérabilités. Toutes les méthodologies d'exécution prises en charge par les navigateurs modernes sont prises en charge par AppScan.