Accueil
Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
Vues
Stratégie de test et optimisation
Définissez la collection de tests qui seront envoyés à l'application pendant le test, la stratégie de test, et appliquez l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit lorsque la vitesse est plus importante pour vous que la profondeur de l'examen.
Stratégies prédéfinies

Configuration
Vous configurez un examen en choisissant les paramètres qui décrivent le mieux votre application ainsi que le type de test souhaité.
- Prédéfinitions
  Les prédéfinitions vous donnent les principales vues de configuration requises pour un type d'examen particulier.
- Vues
  - URL de départ et domaines
    Configurez l'URL de départ pour l'examen, ainsi que tous les serveurs et domaines supplémentaires éventuels à inclure.
  - API
    Pour examiner les API Web, définissez le type d'API (améliore la couverture en configurant mieux les paramètres personnalisés), la méthode d'exploration et les domaines à tester.
  - Exclusion de chemins et de fichiers
    Vous pouvez configurer AppScan pour qu'il ignore certains chemins de l'application ou des types de fichier spécifiques.
  - Opérations en plusieurs étapes
    Enregistrez et gérez les opérations en plusieurs étapes requises pour atteindre des parties spécifiques de l'application qui pourraient sinon être manquées.
  - Gestion de connexion
    Indiquez à AppScan® comment se connecter à votre application.
  - Mot de passe à usage unique (OTP)
    Configurez AppScan® pour utiliser OTP (une sorte d'authentification multifacteur ou MFA) lors de la connexion.
  - Authentification HTTP
    Ajoutez une authentification de niveau serveur et des certificats côté client, si cela est requis par l'application
  - Autorisation AWS
    Configurez les paramètres AWS.
  - Communication et proxy
    Configurez les paramètres de délai d'attente de communication et de serveur proxy.
  - Paramètres, cookies et en-têtes
    Identifiez les ID session et répertoriez les paramètres à exclure de l'examen.
  - Remplissage automatique de formulaires
    Fournissez à AppScan® des valeurs de paramètre valides pour le remplissage de formulaires dans votre application lors de l'examen.
  - Pages d'erreur
    Ajoutez des chaînes, des expressions régulières et des URL pour identifier les pages d'erreur personnalisées de votre application.
  - Explorer les options
    Définissez la méthode d'exploration (basée sur les actions, basée sur les demandes, ou les deux) qu'AppScan utilisera pour explorer l'application, ainsi que d'autres paramètres d'exploration de base et avancés.
  - Stratégie de test et optimisation
    Définissez la collection de tests qui seront envoyés à l'application pendant le test, la stratégie de test, et appliquez l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit lorsque la vitesse est plus importante pour vous que la profondeur de l'examen.
    - Editer une stratégie de test
      La vue Stratégie de test peut être utilisée pour ajuster précisément votre stratégie de test sélectionnée.
    - Importer une stratégie de test
    - Stratégies prédéfinies
    - Paramètres de mise à jour de stratégie de test
      Cette boîte de dialogue s'ouvre à partir de Configuration > Stratégie de test et optimisation > Editer > Paramètres de mise à jour.
  - Définition de l'environnement
    La définition de l'environnement n'est pas essentielle mais permet à AppScan® de ne pas envoyer de tests inappropriés lors de l'examen, ce qui le rend plus rapide et plus efficace. La personnalisation des scores environnementaux CVSS 3.1 améliore la précision de vos résultats d'examen.
  - Options de test
    Options de test supplémentaires.
  - Escalade des droits d'accès
    Comparez les examens qui utilisaient d'autres privilèges utilisateur pour déterminer si les ressources privilégiées sont accessibles aux utilisateurs non privilégiés.
  - Vue basée sur le contenu
    Permet de définir une structure logique pour l'arborescence de l'application, pour les cas où une arborescence basée sur une URL ne sera qu'une longue liste sous une ou deux URL. Il n'est pas primordial de procéder ainsi, mais cela facilite l'exploration des résultats.
  - Configuration avancée
    Cette vue vous donne accès à de nombreux paramètres de registre avancés et ne doit être utilisée que par des utilisateurs AppScan expérimentés, ou lorsque l'équipe de support vous le demande pour résoudre un problème.
- Examen à l'aide d'une collection Postman
  Si vous disposez d'une collection de demandes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen.
- Assistant d'examen incrémentiel
  Répertorie les étapes de cet assistant.
- Structure des fichiers d'examen
  Explique la structure de base d'un fichier SCAN standard AppScan.
- Modèles d'examen
  Un modèle d'examen est simplement une configuration d'examen sauvegardée de sorte à pouvoir la réutiliser.
- Modification de la configuration pendant un examen

Stratégies prédéfinies

Le panneau Fichiers de stratégies situé dans la partie inférieure droite de la vue Editer une stratégie de test permet de sélectionner l'une des stratégies récemment utilisées ou l'une des stratégies prédéfinies. Les stratégies prédéfinies fournissent une large gamme de stratégies utiles pour les exigences courantes.


Nom de politique	Description
Par défaut	Inclut tous les tests, à l'exception des tests invasifs et d'écouteur de port.
Application uniquement	Inclut tous les tests de niveau application, à l'exception des tests invasifs et d'écouteur de port.
Infrastructure uniquement	Inclut tous les tests de niveau infrastructure, à l'exception des tests invasifs et d'écouteur de port.
Tiers uniquement	Inclut tous les tests de niveau tiers, à l'exception des tests invasifs et d'écouteur de port.
Invasif	Inclut tous les tests invasifs (tests susceptibles d'influer sur la stabilité du serveur).
Terminé	Inclut tous les tests AppScan®.
Services Web	Inclut tous les tests associés à REST et SOAP, à l'exception des tests invasifs et d'écouteur de port.
Le minimum indispensable	Inclut une sélection de tests présentant une forte probabilité de réussite. Utile pour évaluer un site si vous disposez de peu de temps.
Fondamentaux du développeur	Inclut une sélection de tests d'application présentant une forte probabilité de réussite. Utile pour évaluer un site si vous disposez de peu de temps.
Site de production	Exclut les tests invasifs susceptibles de dégrader le site ou les tests pouvant entraîner un refus de service aux autres utilisateurs. Remarque : Pour plus d'informations sur l'examen d'un site opérationnel, voir Examen des environnements de production opérationnels.