Analyse Web authentifiée
Ce guide fournit une procédure pas à pas sur l'exécution d'une analyse Web authentifiée à l'aide d'Ostorlab.
1. Cliquez sur l'icône de menu sur la gauche
2. Accédez à la section "Scanning" dans le menu
3. Cliquez sur l'option "New Scan"
4. Cliquez sur "Web App"
Choisissez l'option "Web App" parmi les types d'analyses disponibles.
5. Cliquez sur "Continue"
6. Spécifiez les URL ou les domaines cibles
Spécifiez les URL ou les domaines cibles. Vous pouvez saisir plusieurs URL ou domaines en saisissant chacun sur une nouvelle ligne.
7. Cliquez sur "Continue"
8. Sélectionnez l'option "Full Web Scan"
9. Cliquez sur "Continue"
10. Configurez éventuellement les paramètres d'analyse avancés
Cette section vous permet de configurer des paramètres d'analyse avancés optionnels tels que le QPS pour définir le nombre maximum de requêtes par seconde. Vous pouvez définir un proxy et une expression régulière (regex) de filtrage d'URL.
11. Cliquez sur "Continue"
Cliquez sur le bouton "Continue" pour procéder à la configuration des identifiants d'analyse (test credentials).
12. Sélectionnez un ou plusieurs identifiants de test prédéfinis
Cette étape vous permet de sélectionner un ou plusieurs identifiants de test (test credentials) prédéfinis ou d'en ajouter de nouveaux. Les identifiants de test augmentent la couverture de l'analyse dynamique.
13. Cliquez sur "Test Credentials"
Vous pouvez également ajouter directement des identifiants de test en cliquant sur le bouton "Test Credentials".
14. Ajouter un identifiant de test
Les types pris en charge sont :
- Login & Password
- Basic Authentication
- Credit card
- Phone Number
- Address
- Certificates
- Script : Vous permet de télécharger un script puppeteer. Cela peut être très utile pour activer des flux d'authentification complexes ou des interactions complexes comme le paiement (checkout).
- Custom credentials : Pour les champs de formulaire personnalisés tels que le nom d'utilisateur, le mot de passe et le nom de domaine.
- HTTP Header : Vous permet de fournir des en-têtes (headers) tels que Authorization, User-Agent, etc.
Par exemple, pour ajouter un "Login & Password", sélectionnez l'option "Login & Password" dans le menu des identifiants de test.
Entrez le nom d'utilisateur, le mot de passe et l'URL
Saisissez le nom d'utilisateur, le mot de passe et l'URL. L'identifiant de test est ensuite ajouté à l'analyse une fois que vous cliquez sur submit.
15. Fournir un User-Agent personnalisé
The HTTP User-Agent request header lets servers identify the application, vendor, and/or version of the requesting user agent.
Ostorlab uses a user agent when scanning web applications. However, users might sometimes want to provide their User Agent of choice to be used during the scan. To do so, simply add an HTTP Header Test Credential.
- Optionally enter a label to easily identify this test credential, e.g. "Custom User Agent".
- In the name field, enter User-Agent.
- In the value field, enter your User Agent of choice, e.g.
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36.
When running an authenticated web scan, you can select this test credential in the "Set scan credentials" step and the web application will be scanned using the custom user agent.
16. Cliquez sur "Submit"
Cliquez sur le bouton "submit" pour créer l'analyse.
17. Cliquez sur "Show"
L'analyse Web sera créée. Vous pouvez cliquer sur "Show" dans l'alerte pour accéder à la liste des analyses.
Dans ce guide, vous avez appris comment exécuter une analyse Web authentifiée à l'aide d'Ostorlab. Les instructions couvraient la configuration des paramètres d'analyse, l'ajout d'URL et de domaines, ainsi que l'authentification avec des identifiants de connexion. En suivant ces étapes, vous pouvez vous assurer d'une analyse Web approfondie et sécurisée pour vos applications.