Contenus Flash

Cette section propose des suggestions pour l'analyse de contenus Adobe Flash.

AppScan Explore et teste les structures Adobe ActionScript 1.0, 2.0 et 3.0, et Adobe Flex 2.0 et 3.0. L'analyse et l'exécution de contenus Flash sont activées depuis la vue Options d'exploration de la boîte de dialogue Configuration des examens.

Configurations requises

Pour permettre à AppScan d'exécuter des contenus Adobe Flash lors des analyses, vous devez disposer d'une version Adobe Flash Player pour Internet Explorer prise en charge installée sur l'ordinateur. Les versions 9.0.124.0 à 14.0.0.125 sont prises en charge.

Remarque : L'outil Flash Player est livré sous forme de plug-in ActiveX spécifique au navigateur utilisé. AppScan nécessite Adobe Flash Player for Internet Explorer.
  • Si votre version est trop ancienne, vous pouvez télécharger la version la plus récente de Flash Player depuis le site http://get.adobe.com/flashplayer/
  • Si vous disposez d'Adobe Flash Player version 10.1 ou ultérieure, vous risquez d'obtenir un message indiquant que ce produit doit être configuré pour pouvoir fonctionner avec AppScan. Voir Configuration de Flash Player
Remarque : Dans les deux cas, ("Version Flash Player prise en charge non installée", ou "Flash Player non configuré") une alerte apparaît dans la boîte de dialogue de configuration et Flash ne pourra pas s'exécuter au cours des analyses.

Limitations des analyses de contenus Flash

Les limitations des analyses de contenus Flash suivantes doivent être prises en compte :

  • Etant donné que AppScan analyse les contenus Flash via un proxy, les URL de l'hôte local ne sont pas analysées.
  • Les problèmes détectés sont propres à la version du navigateur Adobe Flash pour Internet Explorer qui est installée sur votre machine. Il se peut donc que :
    • Votre lecteur soit vulnérable au problème signalé alors qu'un lecteur destiné à un autre navigateur, ou une version plus récente de ce même lecteur, n'y est pas exposé
    • Votre lecteur Internet Explorer n'est pas vulnérable à certains problèmes, et par conséquent AppScan ne les signale pas, alors qu'ils affectent les lecteurs destinés à d'autres navigateurs ou des versions antérieures de ce même lecteur

Couverture incomplète des URL

Ci-dessous figurent des suggestions pour les situations où vous avez effectué une analyse et qu'à l'étude des résultats, il semble que AppScan n'ait pas identifié des URL associées à vos contenus Flash.

Pour quelle raison AppScan identifie-t-il certaines URL des contenus Flash et en ignore-t-il d'autres ?

Plusieurs possibilités sont à examiner :

  • Vérifiez que la version de votre film Flash est prise en charge (celles non prises en charge sont listées dans la vue Données d'application sous "URL filtrées").
  • Lisez le film dans le navigateur Internet Explorer sur la machine ayant effectué l'analyse pour vérifier qu'il est lu correctement.
  • Vérifiez que l'option Exécution de JavaScript (activée par défaut) n'a pas été désactivée. (Configuration des examens > Options d'exploration > Exécuter JavaScript pour reconnaître les adresses URL et des contenus dynamiques).

La couverture des contenus Flash semble incomplète

Plusieurs possibilités sont à examiner :

  1. Vérifiez que les informations de remplissage des formulaires sont complètes (Configuration des examens > Remplissage automatique de formulaires).
  2. Essayez d'augmenter la valeur affectée à l'option Configuration des examens > Options d'exploration > Flash > Limite de clic.
  3. Essayez de faire passer la valeur affectée à l'option Configuration des examens > Options avancées > Flash : délai maximal entre échantillonnages au-dessus de sa valeur par défaut de 160 ms.
  4. Essayez de faire passer la valeur affectée à l'option Configuration des examens > Options avancées > Flash : Couverture de 1 à 2.
  5. Essayez de lire le film dans Internet Explorer pour vérifier qu'il peut être lu correctement.
  6. Si la lecture du film échoue, définissez l'option Niveau de débogage du navigateur Flash à Trace 3, relancez l'analyse et envoyez le journal du navigateur ([AppScan Standard dossier d'installation]\Logs\AppScanFlashBrowser.log) à votre fournisseur de support.

Vulnérabilités non détectées

Les suggestions suivantes sont destinées aux situations où AppScan a reconnu les URL et les a ajoutées à l'arborescence de l'application mais n'a pas détecté de vulnérabilités dans celles-ci.

Pour quelles raisons AppScan ne détecte-t-il pas de vulnérabilités dans les URL Flash qu'il a reconnues ?

Les explications possibles sont les suivantes :
  • Le film peut tout simplement ne pas contenir de paramètres suspects. Consultez les informations dans Données d'application > Paramètres de script pour déterminer les paramètres Flash qui ont été reconnus.
  • Vérifiez que tous les tests Flash (ActionScript 2 et 3) sont activés. (Ouvrez Configuration des examens > Stratégie de test, recherchez "ActionScript" et vérifiez que tous les tests sont bien sélectionnés).
  • Il se peut simplement que le film ne soit pas vulnérable.

Quelles sont mes autres possibilités ?

Si vous soupçonnez néanmoins que des vulnérabilités Flash ont été ignorées, activez le mode de support étendu, répétez l'analyse et envoyez les résultats à votre fournisseur de support. Voir Mode de support étendu.