Aller au contenu principal
AppScan Standard - Aide
Bienvenue
Bienvenue dans la documentation relative à HCL AppScan Standard, version 10.2.0.
Mise en route
La présente section fournit un court descriptif des fonctions et des procédures de base du produit.
Présentation
Nouveautés
Cette section décrit les nouvelles fonctionnalités et améliorations du produit AppScan Standard dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).
Configuration requise
Récapitulatif des configurations matérielle et logicielle minimales requises pour la machine qui exécute AppScan Standard.
Installation
L'assistant d'installation vous guide tout au long de la procédure, simple et rapide.
Licence
Cette section décrit la version d'essai et la version payante d'AppScan Standard.
Fonctionnement d'un examen automatique
Cette rubrique explique la différence entre les "étapes" et les "phases" d'un examen.
Application Web et API Web
Cette rubrique présente les différentes méthodes d'exploration de sites avant que ceux-ci soient testés par AppScan.
Flux de travaux de base
Diagramme affichant un flux de travaux AppScan simple utilisant l'assistant de configuration d'examen.
Ecran d'accueil
Décrit les options disponibles sur l'écran d'accueil qui s'ouvre lorsque vous chargez AppScan.
Visite guidée des écrans principaux
Décrit les composants de l'écran principal de AppScan (vue Problèmes), ainsi que tous les menus et toutes les barres d'outils.
Tutoriel
Ce tutoriel présente les étapes de configuration de l'examen simple d'une application à l'aide de l'assistant de configuration des examens, d'exécution de l'examen et de révision des résultats.
Fichiers exemple
Les fichiers d'examen fournis illustrent l'utilisation d'AppScan et les types de résultat générés.
Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
Prédéfinitions
Les prédéfinitions vous donnent les principales vues de configuration requises pour un type d'examen particulier.
Vues
Examen à l'aide d'une collection Postman
Si vous disposez d'une collection de demandes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen.
Assistant d'examen incrémentiel
Répertorie les étapes de cet assistant.
Structure des fichiers d'examen
Explique la structure de base d'un fichier SCAN standard AppScan.
Modèles d'examen
Un modèle d'examen est simplement une configuration d'examen sauvegardée de sorte à pouvoir la réutiliser.
Modification de la configuration pendant un examen
Exploration manuelle
L'exploration manuelle vous permet d'explorer des parties spécifiques de l'application en remplissant en même temps les zones et les formulaires. Cela permet de vous assurer que des zones spécifiques du site sont couvertes et qu'AppScan dispose des informations requises pour remplir correctement les formulaires.
Utilisation d'un navigateur
Pour les applications Web, vous pouvez généralement utiliser le navigateur intégré Chromium à des fins d'exploration manuelle. Lorsque cela est nécessaire, vous pouvez utiliser le navigateur IE intégré ou un navigateur externe.
Utilisation d'un client externe
Vous pouvez explorer manuellement des services RESTful ou d'autres API Web non-SOAP, ou des API SOAP ne nécessitant pas d'enveloppes de sécurité, avec un téléphone mobile, un simulateur ou un émulateur. AppScan affiche les domaines et les requêtes dans son enregistreur de trafic externe et crée les tests appropriés en fonction de l'entrée.
Examen
La présente section décrit comment démarrer un examen, ce qui se produit lors de l'examen, comment manipuler manuellement l'étape d'exploration et comment exporter les résultats d'un examen.
Démarrer des examens
Progression de l'examen
Interrompre et continuer des examens
Sauvegarder et charger des examens
Examens automatiques
Examens partiels
Examens incrémentiels
Exporter les résultats de l'examen
Données
La vue Données contient des informations sur la structure du site pendant la phase d'exploration de l'examen.
Données : Arborescence de l'application
Données : Liste des résultats
Données : Panneau Détails
Incidents
La vue Problèmes permet d'accéder aux résultats d'un examen. Vous pouvez visualiser des résultats à un niveau élevé ou sélectionner des tests ou des objets spécifiques et accéder à plus de détails. Ces détails comprennent des résolutions de problèmes, des demandes/réponses ainsi que les différences entre les variantes de test ayant provoqué des problèmes. Vous pouvez modifier la gravité des problèmes, renvoyer des tests (avec ou sans modifications) et créer des rapports basés sur les problèmes.
Problèmes : Arborescence de l'application
Problèmes : Liste des résultats
Problèmes : Panneau Détails
Rapport Faux positif des résultats de test
Tests manuels
Variantes non vulnérables
Rapports
La présente section explique comment générer des rapports à partir des résultats de l'examen.
Présentation des rapports
Rapports de sécurité
Le rapport de sécurité fournit des informations sur les problèmes de sécurité détectés. Vous pouvez effectuer une sélection parmi plusieurs modèles en fonction du type de contenu requis.
Rapports sur les normes de l'industrie et sur la conformité
Les rapports sur les normes de l'industrie permettent de déterminer si votre application est conforme aux normes d'un comité de secteur d'activité. Les rapports sur la conformité à la réglementation permettent de déterminer si votre application est conforme à des réglementations spécifiques ou à des normes légales.
Rapport de l'analyse des écarts
Le rapport de l'analyse des écarts compare deux ensembles de résultats d'examen et affiche la différence dans les URL et/ou problèmes de sécurité qui y sont détectés.
Rapports basés sur un modèle
L'onglet Basé sur un modèle de la boîte de dialogue Créer un rapport permet de créer des rapports aux formats DOC et DOCX deMicrosoft® Word, avec les données souhaitées et le formatage de document défini.
Outils
La présente section explique comment utiliser les outils supplémentaires fournis avec HCL AppScan Standard.
Boîte de dialogue Options
Cette section décrit les options que vous pouvez contrôler, pour personnaliser AppScan, à partir de la boîte de dialogue Options dans Outils > Options.
Extension Assistant d'API Web
Cette extension vous permet de numériser à l'aide des fichiers de description Open API. Elle est disponible dans Outils > Extensions > Assistant Services Web (Open API), et l'extension est activée par défaut.
Planificateur d'examens
Tests définis par l'utilisateur
PowerTools
AppScan offre un accès à cinq utilitaires (PowerTools), chacun fournissant une fonction spécifique vous aidant à gérer la sécurité de votre application ou à utiliser AppScan.
Personnaliser le menu Outils
Extensions
Journaux
Les journaux peuvent vous aider à traiter les incidents.
Recherche de résultats
Vous pouvez filtrer la liste des résultats à partir de n'importe quelle vue à la recherche de données spécifiques.
Intégrations
Cette section décrit les intégrations d'autres applications à AppScan Standard :
AppScan Entreprise
Cette section décrit les modes d'interaction entre les éditions AppScan Standard et Enterprise.
AppScan on Cloud
Cette section présente comment AppScan Standard peut interagir avec HCL AppScan on Cloud pour examiner les applications sur le cloud.
Infrastructures d'automatisation
Vous pouvez utiliser des scripts créés pour votre infrastructure d'automatisation Assurance qualité (comme Selenium) afin de créer des enregistrements d'exploration manuelle pour un examen AppScan.
Meilleures pratiques
La présente section fournit un certain nombre de valeurs recommandées et des scénarios d'utilisation pour les utilisateurs avancés.
Flux de travaux pour les utilisateurs avancés
Ce flux de travaux est destiné à aider les utilisateurs expérimentés dans le domaine de la sécurité Web à réaliser un examen plus approfondi.
Sites utilisant une navigation basée paramètres
Les sites dans lesquels l'accès à toutes les pages s'effectue à l'aide d'une adresse URL nécessitent une configuration d'examen spécifique.
Examen des environnements de production opérationnels
Les risques et les suggestions ci-dessous doivent être pris en compte avant l'examen d'un site opérationnel à l'aide d'AppScan.
Compréhension de l'option Optimisation du test
Cette section décrit comment l'option Optimisation du test fonctionne et comment mieux l'intégrer au cycle de vie de votre développement.
FAQ et traitement des incidents
Foire aux questions générale
Cette rubrique traite des questions d'application générales.
Outils d'identification des problèmes
Traitement des incidents liés à la signature numérique
L'enregistreur du trafic externe n'enregistre pas
Si votre périphérique externe est correctement configuré, l'enregistreur de connexion externe et l'enregistreur du trafic externe d'AppScan affichent le trafic envoyé depuis l'appareil à mesure que vous l'envoyez. Cette section propose des suggestions dans le cas où cela ne fonctionnerait pas.
Espace disque insuffisant
Traitement des incidents liés aux licences
Traitement des incidents liés à la connexion
Astuces pour identifier les problèmes de détection de session dans la vue Configuration des examens > Gestion de connexion.
Mémoire virtuelle insuffisante
Traitement des incidents liés aux opérations en plusieurs étapes
Vous trouverez ici des suggestions pour le traitement des incidents liés aux opérations en plusieurs étapes basées sur les actions.
Aucune URL trouvée
Résolution des problèmes hors session
Quelques suggestions pour le dépannage des problèmes hors session.
Examen de collection Postman
Quelques suggestions pour l’identification et la résolution des incidents liés à un examen de collection Postman.
Le serveur ne répond pas
Certaines suggestions de dépannage si le serveur ne répond pas.
Remplacement d'extensions non signées
Si vous voulez utiliser une extension non signée déjà utilisée dans une version précédente de AppScan, vous pouvez choisir de la considérer comme étant digne de confiance ou déterminer si une version signée disponible peut lui être substituée.
Mode support étendu
Le mode de support étendu consigne toutes les activités AppScan en vue de leur compression et envoi à votre fournisseur de support pour une assistance à la résolution d'une procédure problématique.
Modification du navigateur par défaut
Vous pouvez configurer AppScan pour utiliser un navigateur différent du navigateur intégré.
Génération de rapports de résultats faux positifs
Journaux
Cette section inclut des explications sur les messages du journal d'examen (Afficher > Journal d'examen).
Interface de ligne de commande
La présente section décrit la syntaxe et les options disponibles avec l'interface de ligne de commande.
Structure des commandes
Commandes
Codes d'état de sortie
Lancement d'AppScan à partir de la ligne de commande
Références
Résumés des menus et des barres d'outils, et glossaire
Menubar
Barre d'outils du navigateur
Icônes de la barre d'outils du navigateur AppScan® intégré utilisées pour afficher et sauvegarder des captures d'écran de réponses d'application.
Raccourcis clavier
AppScan propose les raccourcis clavier suivants.
Contrôles d'accessibilité
Décrit tous les raccourcis-clavier et contrôles.
Fichiers temporaires
Indique l'emplacement où AppScan® enregistre ses fichiers temporaires lors d'une opération normale et comment modifier cet emplacement.
Glossaire
Ce glossaire explique les termes et acronymes utilisés dans la documentation et l'interface utilisateur AppScan® Standard.
Conformité
Prise en charge de CWE
CWE (Common Weakness Enumeration) est une liste de normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues, Les ID CWE suivants, ainsi que leurs ID parent ou enfant, sont pris en charge dans la version actuelle d'AppScan Standard :
Avis