Options de test

Options de test supplémentaires.

Cette vue permet de configurer divers paramètres affectant la longueur et la précision de l'examen. Les paramètres par défaut sont cependant suffisants dans la plupart des cas.

Remarque : Si vous apportez des modifications aux options de test après un examen, il est possible qu'une invite vous demande de procéder à un nouvel examen, car toutes les modifications ne peuvent pas s'appliquer aux résultats existants.


Paramètre	Détails
Générales
Utiliser les tests adaptatifs	AppScan peut envoyer plusieurs milliers de tests à un site. Cependant, pour réduire le temps d'examen, il peut envoyer des tests préliminaires qui déterminent, de façon intelligente, quels sont les tests appropriés à envoyer et quels sont ceux qui ne le sont pas. Ces « tests adaptatifs » peuvent considérablement réduire le temps d'examen, sans pour autant diminuer son efficacité. Décochez cette case si vous souhaitez qu'AppScan® envoie tous ses tests au site.
Autoriser l'examen en plusieurs phases	AppScan analyse les réponses aux tests qu'il envoie à votre application. A partir de cette analyse, AppScan® découvre fréquemment du contenu supplémentaire, tel que des liens invisibles lors de la première « phase » de l'examen. L'examen en plusieurs phases permet à AppScan de répéter les étapes d'exploration et de test sur ce contenu nouvellement détecté. (La phase supplémentaire est généralement plus courte car elle n'implique que les nouveaux liens.) L'examen en plusieurs phases est configuré par défaut pour permettre un maximum de 4 phases d'examen. Notez que l'examen en plusieurs phases s'applique uniquement lorsque vous exécutez un examen intégral. Si vous utilisez les fonctions Exploration uniquement et Test uniquement, le résultat sera un examen à une seule phase.
Analyser les réponses aux tests pour détecter les problèmes qui dépassent la portée spécifique du test	Lorsque cette option est sélectionnée, AppScan® analyse chaque réponse du test pour détecter d'autres problèmes de sécurité en plus de celui qu'il a testé. Désélectionnez cette option si l'application est très grande ou si les examens génèrent un grand nombre de résultats faux positifs.
Inclure toutes les variantes de problèmes qui dépassent la portée spécifique du test.	(Actif uniquement si la case précédente est cochée.) Lorsque cette option est sélectionnée, AppScan analyse toutes les variantes de chaque problème pour détecter d'autres problèmes de sécurité en plus de celui qu'il a testé. Lorsqu'elle est désélectionnée, une seule variante par problème est analysée. Il n'est généralement pas nécessaire de cocher cette case, car cela augmente considérablement la durée de l'analyse.
Tester les problèmes de sécurité des cookies dans les demandes de soumission de formulaire uniquement	Lorsque ce paramètre est sélectionné (par défaut), AppScan applique les tests associés à des cookies uniquement aux cookies utilisés dans les demandes de soumission de formulaire. Pour une précision plus élevée (impliquant également une durée d'examen plus longue), décochez cette case afin qu'AppScan® soumette des tests de cookie pour toutes les requêtes HTTP pertinentes.
Signaler les composants vulnérables	Les composants tiers de votre code sont identifiés lors de la phase d'exploration et s'affichent dans la vue Données. Lorsque cette option est sélectionnée (par défaut), AppScan signale les vulnérabilités connues dans ces composants dans la vue Problèmes et suggère des mises à jour. Pour plus de détails, voir Components. Pour vous assurer qu'AppScan utilise la dernière version de la base de données des composants vulnérables, vous pouvez télécharger les dernières mises à jour, puis les importer à l'aide de l'option Importer un fichier sous Outils > Options. Pour plus d'informations, reportez-vous à la section Importer un fichier.
Tests de connexion/déconnexion
Envoyer les tests sur les pages de connexion	Nous vous recommandons d'autoriser AppScan à tester les pages de connexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée illégale ou si le flux de l'application serait altéré si AppScan® testait ces pages.
Ne pas envoyer d'identificateurs de session lors des tests des pages de connexion.	(Actif uniquement si la case précédente est cochée.) Il est recommandé de laisser cette case cochée, car les identificateurs de session peuvent limiter la réussite des tests des pages de connexion. Désactivez cette option uniquement si vous êtes certain que des jetons de session valides sont nécessaires pour tester vos pages de connexion. Notez que même lorsque cette case est sélectionnée, certains tests sont tout de même envoyés avec des identificateurs de session, pour empêcher les résultats faux positifs.
Envoyer les tests sur les pages de déconnexion	Nous vous recommandons d'autoriser AppScan à tester les pages de déconnexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée illégale ou si le flux de l'application serait altéré si AppScan® testait ces pages.
Non vulnérables
Enregistrer les informations non vulnérables	Lors d'un examen, AppScan envoie plusieurs milliers de variantes du test au site testé. La plupart des réponses indiquent qu'il n'y a aucune menace concernant la sécurité, et AppScan® annule par défaut tous ces résultats « non vulnérables », réduisant ainsi considérablement le volume des données de résultats. Si vous cochez cette case, AppScan enregistrera tous les non vulnérables. Un avertissement s'affichera, car cette option peut réduire les performances d'AppScan® et augmenter considérablement l'espace disque requis. Pour plus de détails, voir Non vulnérables
Gestion des problèmes
Appliquer les classifications de bruit précédentes à cet examen	Si vous avez précédemment identifié un ou plusieurs problèmes comme "Bruit" dans un examen (indiquant qu'ils ne sont pas pertinents pour votre application), le système appliquera automatiquement les mêmes paramètres aux examens suivants, sauf si vous décochez cette case. Pour plus de détails, voir Etat du problème : Ouvert ou Bruit