Enregistrement de connexion à l'aide d'un client externe

Avant de commencer

Lorsque vous utilisez un client externe pour envoyer des requêtes vers l'application, vous ne devez pas nécessairement utiliser une adresse URL de départ, mais AppScan définira une adresse URL de départ pour lui-même après la fin de la phase d'exploration

Pourquoi et quand exécuter cette tâche

L'enregistrement d'une connexion à l'aide d'un navigateur externe vous permet d'apprendre à AppScan® la ou les requêtes à envoyer afin qu'il puisse se connecter pendant l'examen. Une fois que vous êtes connecté, AppScan identifie un schéma en session pouvant servir ultérieurement pour vérifier qu'il est toujours connecté.

Au cours du balayage, AppScan doit savoir à tout moment s'il est connecté ou déconnecté du site afin de pouvoir évaluer correctement les réponses du site. Pendant l'examen, AppScan envoie la demande de détection en session à plusieurs reprises et vérifie que la réponse contient le schéma de détection en session, afin de vérifier qu'il est toujours connecté. Si AppScan ne trouve pas le schéma dans la réponse de la page, AppScan suppose qu'il a été déconnecté et tente de se reconnecter en réexécutant la séquence de connexion. La séquence de connexion est, en général, exécutée plusieurs fois pendant l'examen. Il est donc préférable qu'elle contienne un nombre d'étapes aussi réduit que possible. Il est également utile que la page En session soit de petite taille et qu'elle ne contienne pas de paramètres suivis ou de cookies, car ces derniers peuvent prolonger considérablement la durée de l'examen.

Pour enregistrer la connexion :

Procédure

  1. Dans l'onglet Configuration des examens > Gestion de connexion > Connexion, cliquez sur le bouton d'option Enregistré.
  2. Cliquez sur le bouton d'enregistrement rouge > Client externe >, puis sélectionnez le client que vous utiliserez pour vous connecter :
    OptionDescription
    Postman AppScan® ouvrira et configurera automatiquement Postman pour travailler avec AppScan® en tant que proxy d'enregistrement (IP et port). AppScan® ouvrira ensuite son enregistreur de trafic pour enregistrer les requêtes que vous envoyez depuis Postman.
    SoapUI AppScan® ouvrira et configurera automatiquement SoapUI pour travailler avec AppScan® en tant que proxy d'enregistrement (IP et port). AppScan® ouvrira ensuite son enregistreur de trafic pour enregistrer les requêtes que vous envoyez depuis SoapUI.
    Remarque : La modification de configuration affecte toutes les autres instances ouvertes pendant la session. C'est pourquoi il est recommandé de fermer les instances ouvertes avant de démarrer et de ne pas en ouvrir pendant que vous enregistrez. Lorsque vous fermez AppScan, SoapUI est également fermé et les paramètres sont rétablis sur ceux qu'ils étaient auparavant.
    Pour SSL, voir SSL avec SoapUI.
    Autres Sélectionnez cette option si le client que vous souhaitez utiliser est installé sur une machine différente ou si vous utilisez un client différent de Postman ou de SoapUI sur la même machine qu'AppScan®. Il vous sera demandé d'ouvrir et de configurer votre client manuellement de manière à utiliser AppScan comme proxy.

    Pour SSL, voir SSL avec un autre client externe

    L'enregistreur de connexion externe d'AppScan s'ouvre, enregistrant les requêtes que vous envoyez à votre service Web depuis le client. Pour plus de détails, voir Enregistreur de connexion externe

    Si vous avez sélectionné Postman ou SoapUI, celui-ci s'ouvre et est configuré de manière à utiliser AppScan comme proxy d'enregistrement.
    Remarque : AppScan peut configurer automatiquement Postman ou SoapUI seulement s'ils sont installés sur la même machine qu'AppScan. Dans le cas contraire, vous devez sélectionner Autre et configurer le client vous-même à l'étape suivante.
    Remarque : Si vous utilisez SSL, vous devez également procéder comme suit : SSL avec SoapUI.
  3. Si vous avez sélectionné Client externe > Autre, ouvrez votre client et configurez-le de manière à utiliser le port et l'IP affichés en haut de l'enregistreur de trafic. Si le client se trouve sur la même machine qu'AppScan, utilisez l'"IP local" affiché. Dans le cas contraire, utilisez l'"IP à distance".
    Remarque : Si vous utilisez SSL, vous devez également procéder comme suit : SSL avec un autre client externe.
  4. Depuis votre client, envoyez les requêtes nécessaires pour vous connecter au site en tant qu'utilisateur valide. Lorsque vous êtes connecté, envoyez une requête supplémentaire qui ne pourrait être envoyée que par un utilisateur connecté.
    Important :
    • L'envoi de la requête supplémentaire après vous être connecté est essentiel dans le cas d'API Web, afin qu'AppScan puisse être capable d'identifier un schéma en session.
    • Vérifiez que le trafic que vous avez envoyé s'affiche dans l'enregistreur de connexion. Dans le cas contraire, reportez-vous à Dépannage de l'enregistreur de trafic.
  5. Dans l'enregistreur de connexion, cliquez sur Arrêter l'enregistrement, puis cliquez sur Enregistrer pour fermer.

    AppScan® extrait les informations de connexion de votre requête de connexion à utiliser lors du balayage.

    La boîte de dialogue Informations sur la session s'ouvre et affiche les requêtes de connexion que vous avez enregistrées. L'icône grise devient une icône verte, indiquant que la détection en session est active.
    Remarque : Si l'icône Clé devient rouge icône Clé rouge, cela signifie qu'AppScan® a tenté, sans y parvenir, d'identifier un schéma dans la page En session lors du balayage pour vérifier qu'il n'était pas déconnecté. Dans ce cas, vous devez identifier le "schéma en session" de AppScan®. Pour plus d'informations, voir Boîte de dialogue Sélectionnez un schéma de détection. Dans certains cas un message plus spécifique s'affiche avec un lien vers une page de la présente aide pour traiter le problème. Voir Traitement des incidents liés à la connexion.
  6. Pour modifier la séquence enregistrée (par exemple pour supprimer les étapes inutiles), voir Lecture de la connexion.
    Conseil : En général, l'adresse URL de connexion de l'utilisateur (et dont la réponse est la première à inclure un schéma En session) doit être celle marquée En session. Toutefois, il est parfois nécessaire de sélectionner une autre adresse URL qui comprend aussi le schéma En session, mais qui a l'avantage de correspondre à une page plus petite et de ne pas inclure de paramètres suivis ou de cookies. En outre, la demande POST contenant les données d'identification de l'utilisateur est parfois la demande qui vous permet de vous connecter et qui contient d'abord le schéma En session. Ce n'est pas le meilleur choix pour la page En session, car la vérification En session enverra les données d'identification chaque fois, entraînant un faux positif dans la réponse de la session. Voir Optimisation de la détection en session
  7. Pour enregistrer la nouvelle séquence de connexion, cliquez sur OK.
    Conseil : Si vous êtes sûr que la page En session ne contient aucun paramètre suivi ou cookie, améliorez les performances de l'examen en définissant le paramètre Configuration avancée > Gestion de session : Analyser la page En session sur "False". Voir Configuration avancée.
    Limitation : Les méthodes d'authentification nécessitant la présence d'un utilisateur, telles que OAuth2 avec l'utilisateur invité, ne sont pas prises en charge. Toutefois, vous pouvez utiliser OAuth2 avec un type d'octroi hors ligne qui utilise un jeton d'actualisation (également appelé jeton de service).

Que faire ensuite

Rubriques connexes :

Dépannage de l'enregistreur de trafic

SSL avec SoapUI

Exploration manuelle

Opérations en plusieurs étapes