Escalade des droits d'accès

Comparez les examens qui utilisaient d'autres privilèges utilisateur pour déterminer si les ressources privilégiées sont accessibles aux utilisateurs non privilégiés.

Pourquoi et quand exécuter cette tâche

illustration de l'escalade des droits d'accèsAppScan peut faire référence à des examens exécutés à l'aide de divers droits utilisateur afin de déterminer quelles ressources privilégiées sont accessibles aux utilisateurs dont les droits d'accès sont insuffisants. Vous pouvez le faire de deux manières :
  • Par comparaison avec un utilisateur privilégié supérieur : vous faites pointer AppScan vers des résultats d'examen produits à l'aide d'un niveau supérieur de droits d'accès que l'examen en cours. Lors de l'examen, AppScan tente d'accéder aux liens supplémentaires disponibles à l'utilisateur de niveau supérieur à l'aide des droits d'accès en cours (niveau inférieur). Les résultats de l'examen indiquent quelles tentatives ont abouti.
  • Par comparaison avec un utilisateur non authentifié : vous faites pointer AppScan pour numériser les résultats qui ont été produits sans authentification utilisateur. AppScan exécute ensuite une analyse à l'aide de l'authentification en cours et note les nouveaux liens auxquels il accède. Il se déconnecte ensuite et tente d'accéder à ces nouveaux liens sans authentification. Les résultats de l'examen indiquent quelles tentatives ont abouti.
Important : Les examens comparés doivent avoir la même configuration pour les examens et des données d'exploration équivalentes. Par exemple, si le site a été exploré manuellement avant le test dans l'un des examens, la même exploration manuelle doit être effectuée avant l'étape de test dans les examens comparés avec lui.

Procédure

  1. (Pour la comparaison avec un utilisateur disposant de droits plus élevés.) Dans la zone supérieure ("Tests pour utilisateur disposant de droits plus élevés"), cliquez sur le bouton Plus et accédez à un examen exécuté avec des droits d'accès supérieurs à ceux de l'examen en cours.
  2. Cliquez sur Ouvrir.
  3. Entrez un nom qui représente le niveau d'authentification utilisé dans l'examen (par exemple Invité, Administrateur), puis cliquez sur OK.

    L'examen sélectionné est ajouté à la liste, et son rôle (par ex. Administrateur, Opérateur, Visiteur) apparaît dans la colonne de gauche.

  4. Répétez ces étapes pour ajouter des examens avec différents niveaux d'authentification si nécessaire.
    Remarque : Vous pouvez ajouter plusieurs examens pour des tests pour utilisateur disposant de droits plus élevés, un pour chaque rôle. Par exemple, si l'examen en cours est configuré avec le nom d'utilisateur et le mot de passe d'un utilisateur normal, vous pouvez ajouter deux examens à cette liste : un exécuté avec des droits d'administrateur, l'autre exécuté avec des droits de superviseur. Les résultats indiqueront quelles ressources d'utilisateur trouvées sont accessibles à l'utilisateur normal.
  5. (Pour la comparaison avec un utilisateur non authentifié.) Vous pouvez également, facultativement, charger les résultats d'un examen exécuté sans authentification. Pour ce faire, dans la zone inférieure, cliquez sur le bouton Plus, et accédez aux résultats de l'examen.