Accueil
Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
Vues
API
Pour examiner les API Web, définissez le type d'API (améliore la couverture en configurant mieux les paramètres personnalisés), la méthode d'exploration et les domaines à tester.

Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
- Prédéfinitions
  Les prédéfinitions vous donnent les principales vues de configuration requises pour un type d'examen particulier.
- Vues
  - URL de départ et domaines
    Configurez l'URL de départ pour l'examen, ainsi que tous les serveurs et domaines supplémentaires éventuels à inclure.
  - API
    Pour examiner les API Web, définissez le type d'API (améliore la couverture en configurant mieux les paramètres personnalisés), la méthode d'exploration et les domaines à tester.
    - Certificat SSL
      Si le serveur utilise HTTPS, vous devez ajouter le certificat racine SSL AppScan (afin que les demandes envoyées en utilisant AppScan comme proxy soient acceptées).
  - Exclusion de chemins et de fichiers
    Vous pouvez configurer AppScan pour qu'il ignore certains chemins de l'application ou des types de fichier spécifiques.
  - Opérations en plusieurs étapes
    Enregistrez et gérez les opérations en plusieurs étapes requises pour atteindre des parties spécifiques de l'application qui pourraient sinon être manquées.
  - Gestion de connexion
    Indiquez à AppScan® comment se connecter à votre application.
  - Mot de passe à usage unique (OTP)
    Configurez AppScan® pour utiliser OTP (une sorte d'authentification multifacteur ou MFA) lors de la connexion.
  - Authentification HTTP
    Ajoutez une authentification de niveau serveur et des certificats côté client, si cela est requis par l'application
  - Autorisation AWS
    Configurez les paramètres AWS.
  - Communication et proxy
    Configurez les paramètres de délai d'attente de communication et de serveur proxy.
  - Paramètres, cookies et en-têtes
    Identifiez les ID session et répertoriez les paramètres à exclure de l'examen.
  - Remplissage automatique de formulaires
    Fournissez à AppScan® des valeurs de paramètre valides pour le remplissage de formulaires dans votre application lors de l'examen.
  - Pages d'erreur
    Ajoutez des chaînes, des expressions régulières et des URL pour identifier les pages d'erreur personnalisées de votre application.
  - Explorer les options
    Définissez la méthode d'exploration (basée sur les actions, basée sur les demandes, ou les deux) qu'AppScan utilisera pour explorer l'application, ainsi que d'autres paramètres d'exploration de base et avancés.
  - Stratégie de test et optimisation
    Définissez la collection de tests qui seront envoyés à l'application pendant le test, la stratégie de test, et appliquez l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit lorsque la vitesse est plus importante pour vous que la profondeur de l'examen.
  - Définition de l'environnement
    La définition de l'environnement n'est pas essentielle mais permet à AppScan® de ne pas envoyer de tests inappropriés lors de l'examen, ce qui le rend plus rapide et plus efficace. La personnalisation des scores environnementaux CVSS 3.1 améliore la précision de vos résultats d'examen.
  - Options de test
    Options de test supplémentaires.
  - Escalade des droits d'accès
    Comparez les examens qui utilisaient d'autres privilèges utilisateur pour déterminer si les ressources privilégiées sont accessibles aux utilisateurs non privilégiés.
  - Vue basée sur le contenu
    Permet de définir une structure logique pour l'arborescence de l'application, pour les cas où une arborescence basée sur une URL ne sera qu'une longue liste sous une ou deux URL. Il n'est pas primordial de procéder ainsi, mais cela facilite l'exploration des résultats.
  - Configuration avancée
    Cette vue vous donne accès à de nombreux paramètres de registre avancés et ne doit être utilisée que par des utilisateurs AppScan expérimentés, ou lorsque l'équipe de support vous le demande pour résoudre un problème.
- Examen à l'aide d'une collection Postman
  Si vous disposez d'une collection de demandes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen.
- Assistant d'examen incrémentiel
  Répertorie les étapes de cet assistant.
- Structure des fichiers d'examen
  Explique la structure de base d'un fichier SCAN standard AppScan.
- Modèles d'examen
  Un modèle d'examen est simplement une configuration d'examen sauvegardée de sorte à pouvoir la réutiliser.
- Modification de la configuration pendant un examen

API

Pour examiner les API Web, définissez le type d'API (améliore la couverture en configurant mieux les paramètres personnalisés), la méthode d'exploration et les domaines à tester.

Utilisez Configuration > API pour configurer votre examen d'API Web.

Sélectionnez votre type d'API :
- API ouverte :
  1. Si possible, ajoutez un fichier de description pour aider AppScan à identifier les paramètres de chemin.
  2. Cliquez sur Vérifier le fichier de description et AppScan confirmera que le fichier est valide.
- GraphQL
- Autre
Méthode d'exploration : si vous disposez d'une collection Postman
- Si vous disposez d'un fichier Collection Postman, choisissez-le et vérifiez-le.
  Remarque : Une fois que vous avez ajouté une collection Postman à une configuration, vous ne pouvez pas l'exporter en tant que fichier SCANT (modèle), car la collection ne peut pas être incluse dans un modèle. Vous devez supprimer la collection ou l'enregistrer en tant que fichier SCAN.
- Sinon, vous pouvez utiliser exploration manuelle ou importer des données d'exploration.
Vous devez ajouter au moins un domaine de la collection Postman à examiner.

Lorsque vous avez configuré des paramètres supplémentaires, tels que la stratégie de connexion ou de test et l'optimisation, vous pouvez exécuter un examen complet ou l'exploration uniquement.