HCL AppScan fiche technique :

Information:

Fournisseur HCL Technologies (formerly IBM)

Dernière version Version 10.0

Type Sécurité des applications

Licence Propriétaire

Prix À partir de 11 000,00 US par utilisateur et par

an

Présentation du produit:
HCL AppScan Standard est un outil de test de la vulnérabilité de la sécurité des applications et
des services Web. Il offre les méthodes de test les plus avancées pour vous aider à protéger votre
site contre les menaces de cyber-attaque, ainsi qu'un vaste choix d'options de génération de
données d'application.
HCL AppScan Standard utilise trois techniques de test différentes qui se complètent et
s'enrichissent mutuellement :
 Analyse dynamique ("examen de type boîte noire")
Il s'agit de la méthode principale, qui teste et évalue les réponses des applications en phase
d'exécution.
 Analyse statique ("examen de type boîte blanche")
Technologie unique qui analyse le code JavaScript dans le contexte d'une page Web intégrale.
 Analyse interactive ("examen glass box")
Le moteur de test dynamique peut entrer en interaction avec un agent Glass Box qui réside sur le
serveur Web lui-même, permettant ainsi à AppScan d'identifier plus de problèmes, et avec une
plus grande précision, qu'en exécutant un test dynamique conventionnel seul.

En plus des fonctions de test de pointe, AppScan comprend d'autres capacités pour vous aider à
exécuter votre programme de test de la façon la plus efficace possible. En voici quelques-unes :
Rapport sur la conformité légale et générale, avec plus de 40 schémas différents prêts à l'emploi à
votre disposition Personnalisation et extensibilité via AppScan eXtension Framework, ou par
intégration directe dans des systèmes existants à l'aide du kit SDK AppScan
Le mécanisme d'optimisation intégré permet de concentrer le test sur les problèmes les plus
susceptibles de survenir dans les parties les plus probables de votre application.

AppScan Standard vous permet de diminuer le risque d'attaques d'applications Web et de

 violation de données avant le déploiement sur site et pour l'évaluation des risques continue
pendant la production.

Technologies prises en charge

Certaines technologies utilisées par votre site peuvent avoir une incidence sur la capacité
d'examen d'AppScan, tandis que d'autres n'en ont aucune.
 AppScan est un outil de "boîte noire" (DAST) qui examine votre site en utilisant les mêmes
mécanismes qu'un navigateur. Ainsi, les technologies côté serveur qui sont transparentes
pour un navigateur sont généralement transparentes pour AppScan, et n'affectent pas
l'examen.
 Les technologies côté client, telles que JavaScript et le protocole HTTP lui-même, ont une
incidence sur AppScan. Pour garantir la réussite de l'examen, AppScan utilise un véritable
navigateur, intégré dans le produit, pour traiter les pages Web, comme le ferait un
navigateur disponible dans le commerce. Cela garantit la prise en charge de toutes les
technologies courantes. Une configuration supplémentaire peut parfois être nécessaire pour
aider AppScan à comprendre le contexte d'un élément, pour un traitement adéquat au-delà
d'une simple navigation, spécifiquement pour la Phase de test de l'examen en règle
générale.
 L'enregistrement de connexion et la lecture de connexion WebSocket sont pris en charge.

Un examen AppScan consiste en deux étapes principales : l'exploration et le test. Pour chaque
étape, le tableau ci-dessous contient des instructions pour comprendre quelles technologies côté
client et côté serveur peuvent avoir une incidence sur l'examen, et dans quels cas une
configuration s'avère nécessaire.

Technologies côté serveur Technologies côté client

Etape Les technologies côté serveur qui n'ont pas
d'exploration d'incidence sur le client, telles que la base de données
spécifique utilisée, n'ont aucun effet sur l'examen.
De nombreux mécanismes qui ont
une réelle incidence sur le client (comme la gestion de
session) ne limitent pas l'examen tant qu'AppScan est
configuré correctement. Par exemple, les serveurs
Web et les serveurs d'applications ont une incidence
sur la gestion des ID, auquel cas AppScan doit être
configuré pour pouvoir en effectuer le suivi. De
nombreux ID de session courants sont prédéfinis ou
peuvent être automatiquement détectés par AppScan
et ne nécessitent pas de configuration
supplémentaire. Une configuration supplémentaire
peut toutefois s'avérer nécessaire pour certains
mécanismes personnalisés.
AppScan utilise un navigateur entièrement
intégré et toutes les principales technologies
sont automatiquement prises en charge
(HTML5), notamment de nombreuses
infrastructures JavaScript telles que Angular,
React et JQuery.
Si des pages sont omises lors de l'étape
d'exploration automatique suite à une
technologie spécifique ou une
implémentation qui bloque l'exploration
automatique, elles peuvent être ajoutées à
l'examen par l'exploration manuelle du
site après la phase d'exploration
automatique, et avant l'étape de test.
 AppScan prend particulièrement en charge les URL
personnalisées de WebSphere Portal. WSP code les
URL d'une manière qui les rend difficiles à suivre
lorsqu'elles apparaissent. AppScan décode les URL de
sorte qu'elles peuvent être reconnues et optimisées
Etape de test AppScan est conçu pour tester l'application mais pas
les technologies de prise en charge associées : celles-
ci n'ont donc pas d'incidence sur le test. Au niveau des
bases de données, la suite d'AppScan fournit des tests
d'injection SQL qui sont indépendants de la base de
données utilisée. Elle fournit également des tests
spécifiques pour le contrôle tierce partie (celui des
vulnérabilités courantes, par exemple).
Les vulnérabilités de JavaScript côté client
sont testées à l'aide du navigateur intégré.
Les tests sont également effectués à l'aide
d'une approche boîte noire (DAST).
L'environnement du navigateur est manipulé
et JavaScript est exécuté en l'état pour
mettre à jour les vulnérabilités. Toutes les
méthodologies d'exécution prises en charge
par les navigateurs modernes sont prises en
charge par AppScan.