Création d'un examen API à l'aide d'un trafic enregistré

Si vous disposez d'un trafic enregistré de votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen. Par exemple, si des nœuds finaux d'API ne font pas partie de la collection Postman ou si vous disposez d'une automatisation fonctionnelle d'API, vous pouvez enregistrer le trafic lorsque l'automatisation d'API s'exécute et alimenter le trafic vers AppScan pour des tests de sécurité.

Avant de commencer

Sauvegardez votre site avant le balayage.
Si vous ne l'avez pas encore fait, créez une application pour vos examens.
Si votre site n'est pas disponible en ligne et que AppScan Presence n'existe pas encore sur le serveur : Création de l'instance AppScan Presence.
En cas d'examen d'un site de production en direct, consultez d'abord à la section Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ?

Pourquoi et quand exécuter cette tâche

Assurez-vous que vous disposez du fichier de trafic enregistré à l'aide de l'une des méthodes suivantes :

Enregistré à l'aide d'un enregistreur d'activité via l'interface utilisateur Swagger
AppScan Standard avec Postman ou SoapUI
Utilisation de l'enregistreur de trafic

Pour les API Web, la meilleure option est généralement le HCL AppScan Traffic Recorder.

Procédure

Sur la page Application spécifique, cliquez sur Créer un examen, puis cliquez sur Créer un examen sous Analyse dynamique (DAST).
Dans la boîte de dialogue Créer un examen : DAST, choisissez Examen d'API pour lancer le processus de configuration.
Sélectionnez la méthode d'exploration de l'API, Trafic enregistré.
Faites glisser et déposez votre fichier vers la zone marquée ou cliquez sur l'icône Ajouter pour parcourir et ajouter le fichier dast.config contenant le trafic enregistré.
Dans la section Domaines à tester, vous devez ajouter tous les domaines vérifiés/autorisés à inclure dans l'examen. Ces deux formats sont valides :
- https://demo.testfire.net/
- demo.testfire.net
Important : Les domaines non répertoriés ne seront pas examinés.
Configurez les autres options d'examen comme requis, telles que l'authentification, les stratégies de test et d'autres paramètres avancés. Pour plus d'informations, voir Création d'un examen API.
Cliquez sur Examen. Le fichier de trafic enregistré est importé. Exécutez l'examen pour détecter les vulnérabilités dans votre API Web.

Que faire ensuite

Vous pouvez afficher le statut de l'analyse sur la page Examens et sessions.