Accueil
Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
Boîte de dialogue Configuration des examens
Vue Authentification par des tiers
La vue Authentification par des tiers de la boîte de dialogue Configuration vous permet de configurer les paramètres d'AWS.

Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
- Assistants de configuration des examens
  Vous pouvez configurer rapidement des examens de base à l'aide des assistants.
- Boîte de dialogue Configuration des examens
  - Vue URL et serveurs
    Configurez l'URL de départ pour le svcan, ainsi que tous les serveurs et domaines supplémentaires éventuels à inclure.
  - Vue Gestion de connexion
    Indiquez à AppScan® comment se connecter à votre application.
  - Vue du mot de passe à usage unique
    Configurez AppScan® pour utiliser OTP (une sorte d’authentification multifacteur ou MFA) lors de la connexion.
  - Vue Définition de l'environnement
    La définition de l'environnement n'est pas essentielle mais permet à AppScan® de ne pas envoyer de tests inappropriés lors de l'examen, ce qui le rend plus rapide et plus efficace.
  - Vue Exclusion de chemins et de fichiers
    Vous pouvez configurer AppScan pour qu'il ignore certains chemins de l'application ou des types de fichier spécifiques.
  - Vue Options d'exploration
    Définissez les limites d'examen, les méthodes d'extraction des liens et la méthode d'exploration générale.
  - Vue Paramètres et cookies
    Identifiez les ID session et répertoriez les paramètres à exclure de l'examen.
  - Vue Outils de remplissage automatique de formulaires
    Fournissez à AppScan® des valeurs de paramètre valides pour le remplissage de formulaires dans votre application lors de l'examen.
  - Vue Pages d'erreur
    Ajoutez des chaînes, des expressions régulières et des URL pour identifier les pages d'erreur personnalisées de votre application.
  - Vue Opérations en plusieurs étapes
    Enregistrez et gérez les opérations en plusieurs étapes requises pour atteindre des parties spécifiques de l'application qui pourraient sinon être manquées.
  - Vue Résultats basés sur le contenu
    Définissez une structure logique pour l'arborescence de l'application, si AppScan® ne peut pas le faire en fonction de la structure d'URL.
  - Vue Communication et Proxy
    Configurez les paramètres de délai d'attente de communication et de serveur proxy.
  - Vue Authentification HTTP
    Ajoutez une authentification de niveau serveur et des certificats côté client, si cela est requis par l'application
  - Vue Authentification par des tiers
    La vue Authentification par des tiers de la boîte de dialogue Configuration vous permet de configurer les paramètres d'AWS.
  - Vue Stratégie de test
    Définissez et modifiez la collection de tests qui seront envoyés à l'application lors des tests : la stratégie de test.
  - Vue Optimisation du test
    Appliquez l'optimisation pour des examens plus rapides à des moments du cycle de vie du produit où la vitesse est plus importante pour vous que la profondeur de l'examen.
  - Vue Options de test
    Options de test supplémentaires.
  - Vue Escalade des droits d'accès
    AppScan peut faire référence à des exécutions d'examens à l'aide de droits utilisateur différents afin de reconnaître les ressources privilégiées qui peuvent être accessibles aux utilisateurs dont les droits d'accès sont insuffisants.
  - Vue Configuration avancée
    Cette vue vous donne accès à de nombreux paramètres de registre avancés et ne doit être utilisée que par des utilisateurs AppScan expérimentés, ou lorsque l'équipe de support vous le demande pour résoudre un problème.
- Examen à l'aide d'une collection Postman
  Si vous disposez d'une collection de demandes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen.
- Structure des fichiers d'examen
  Explique la structure de base d'un fichier SCAN standard AppScan.
- Modèles d'examen
  Un modèle d'examen est simplement une configuration d'examen sauvegardée de sorte à pouvoir la réutiliser.
- Modification de la configuration pendant un examen

Vue Authentification par des tiers

La vue Authentification par des tiers de la boîte de dialogue Configuration vous permet de configurer les paramètres d'AWS.

La plupart des requêtes adressées à AWS doivent être signées à l'aide d'une clé d'accès AWS Signature version 4, qui est composée d'un ID de clé d'accès et d'une clé d'accès secrète. Vous devez fournir ces informations à AppScan, sous peine de voir ses requêtes refusées.

Si les requêtes adressées à votre application AWS nécessitent AWS Signature version 4, AppScan doit être en mesure de l'ajouter à ses requêtes. Pour cela, les informations suivantes sont requises :

Valeur par défaut :
- Clé d'accès
- Clé secrète
- Région (région hébergeant le service, par exemple : us-east-2)
- Service (code de service, par exemple : S3, voir ci-dessous pour plus de détails)
Cognito :
- ID du pool d'identités
- Région (région hébergeant le service, par exemple : us-east-2)
- Service (code de service, par exemple : S3, voir ci-dessous pour plus de détails)

Les clés et les ID sont chiffrés et ne sont pas lisibles dans le fichier SCANT (Saved scan template file ou fichier de modèle d'examen sauvegardé).

Qu'est-ce que mon code de service ?

Le code de votre service de nœud final AWS est le segment qui précède amazonaws.com ou le code de région dans le nom d'hôte AWS. Par exemple, s3 est le service de nœud final pour les noms d'hôte https://<account-id>.s3-control.eu-north-1.amazonaws.com et https://s3.us-east-2.amazonaws.com. Pour plus d'informations, voir Nœuds finaux de service et quotas dans AWS.

Restriction d'AWS à des parties spécifiques du site

Par défaut, les paramètres AWS sont utilisés pour l'ensemble du site. Si AWS est utilisé uniquement pour des parties du site, vous pouvez les définir dans le panneau inférieur. Vous pouvez définir des URL, des chemins et/ou des dossiers.

Pour restreindre AWS à une partie du site :

Cliquez sur
Dans la boîte de dialogue Ajouter un chemin, entrez une URL, un chemin ou un dossier, puis cliquez sur OK.
Répétez cette opération pour définir toutes les parties du site qui utilisent AWS.