Création d'un examen API à l'aide d'une collection Postman

Si vous disposez d'une collection de requêtes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen en utilisant l'assistant de configuration des examens API ou l'API REST.

Avant de commencer

Sauvegardez votre site avant le balayage.
Si vous ne l'avez pas encore fait, créez une application pour vos examens.
Si votre site n'est pas disponible en ligne et que AppScan Presence n'existe pas encore sur le serveur : Création de l'instance AppScan Presence.
En cas d'examen d'un site de production en direct, consultez d'abord à la section Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ?

Si l'API Web requiert une autorisation, la demande d'autorisation doit inclure des données d'identification valides (clé d'API, authentification de base, jeton d'actualisation OAuth 2 ou autre jeton et mots de passe fixes). La requête d'autorisation doit être l'une des premières requêtes de la collection. Par défaut, AppScan examine les sept premières requêtes d'autorisation.
Limitation : Les méthodes d'authentification nécessitant la présence d'un utilisateur, telles que OAuth2 avec l'utilisateur invité, ne sont pas prises en charge. Toutefois, vous pouvez utiliser OAuth2 avec un type d'octroi hors ligne qui utilise un jeton d'actualisation (également appelé jeton de service).

Pourquoi et quand exécuter cette tâche

Après l'importation, AppScan exécute sa propre phase d'exploration à l'aide de la collection et affiche les données résultantes dans les vues Examens et Sessions.

Procédure

Sur la page Application, cliquez sur Créer un examen, puis cliquez sur Créer un examen sous Analyse dynamique (DAST).
Dans la boîte de dialogue Créer un examen : DAST, choisissez Examen d'API pour lancer le processus de configuration.
Sélectionnez la méthode d'exploration de l'API, Collection Postman.
Cliquez sur Sélectionner la collection Postman pour ajouter votre collection Postman.

Remarque : La version 2.0 ou une version ultérieure de la collecte Postman sont prises en charge.
Dans la zone Fichiers de collection Postman, chargez les fichiers suivants :
1. Fichier de collection Postman : Parcourez et chargez le fichier JSON de la collection Postman. Le fichier d'extension doit être .json
2. Fichiers liés (facultatif) : Si la collection inclut des liens vers d'autres fichiers, vous devez les inclure tous dans un seul fichier ZIP et la sélectionner ici. Les conditions suivantes s'appliquent :
  1. Les chemins d'accès aux fichiers doivent être relatifs à la collection et non absolus.
  2. Les fichiers doivent se trouver dans le dossier Collection Postman (il peut s'agir d'un sous-dossier), et non en dehors de celui-ci
  3. Le chemin doit être identique au chemin utilisé dans Postman.
3. Fichier d'environnement Postman (facultatif) : Si votre collection utilise des variables d'environnement, vous devez parcourir et ajouter le fichier JSON de l'environnement Postman.
4. Fichier Globals Postman (facultatif) : Si votre collection utilise des variables d'environnement, vous devez parcourir et ajouter le fichier JSON Globals Postman.
Remarque : AppScan 360° limite les chargements de fichiers à 2 Go.
Dans la section Domaines à tester, vous devez ajouter tous les domaines vérifiés/autorisés à inclure dans l'examen. Ces deux formats sont valides :
- https://demo.testfire.net/
- demo.testfire.net
Important : Les domaines non répertoriés ne seront pas examinés.
Si votre collection inclut des informations d'identification de connexion, assurez-vous qu'il s'agit de l'une des premières requêtes de la collection. Par défaut, AppScan examine les sept premières requêtes d'autorisation.
Configurez les autres options d'examen comme requis, telles que l'authentification, les stratégies de test et d'autres paramètres avancés. Pour plus d'informations, voir Création d'un examen API.
Cliquez sur Examen pour exécuter l'examen afin de détecter les vulnérabilités dans votre API Web.
Remarque :
- Une fois que vous avez ajouté une collection Postman à une configuration, vous ne pouvez pas l'exporter en tant que fichier SCANT (modèle), car la collection ne peut pas être incluse dans un modèle.
- Actuellement, une seule collection Postman peut être importée par examen.

Que faire ensuite

Vous pouvez afficher le statut de l'analyse sur la page Examens et sessions.

Utilisation d'API REST

Vous pouvez utiliser la collection Postman via l'API REST.

Procédure

Téléchargez un fichier de collection Postman à l'aide de l'API REST.

Remarque : AppScan 360° limite les chargements de fichiers à 2 Go.
Avec l'API REST, vous pouvez lancer un examen sans avoir besoin d'un fichier .scan comme suit :