記録されたトラフィックを使用した API スキャンの作成

Web API への要求の記録されたトラフィックがある場合は、それをインポートして、スキャンの基礎として使用できます。たとえば、Postman コレクションの一部ではない API エンドポイントがある場合、または API 機能自動化がある場合、API 自動化が実行されたときにトラフィックを記録し、それを AppScan に入力してセキュリティー・テストを行うことができます。

始める前に

スキャンする前にサイトをバックアップします。
スキャン用のアプリケーションを作成します (まだ作成していない場合)。
サイトがインターネットで使用不可であり、AppScan Presence がまだサーバーに存在していない場合: AppScan Presence の作成。
実稼働中のサイトをスキャンする場合は、最初に次を参照してください。ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?

このタスクについて

次のいずれかの方法を使用して記録されたトラフィック・ファイルがあることを確認します。

Swagger UI を使用して Activity Recorder で記録
AppScan Standard および Postman または SoapUI
トラフィック・レコーダーの使用

Web API の場合、最良のオプションは通常は HCL AppScan Traffic Recorder です。

手順

特定の「アプリケーション」ページで「スキャンの作成」をクリックし、「DAST 動的分析」で「スキャンの作成」をクリックします。
「スキャンの作成」で、次の操作を行います。「DAST」ダイアログで、「API スキャン」を選択して構成プロセスを開始します。
API 探査方法で、「記録されたトラフィック」を選択します。
マークされた領域にファイルをドラッグ・アンド・ドロップするか、「追加」アイコンをクリックして、記録されたトラフィックを含む dast.config ファイルを参照して追加します。
「テストするドメイン」セクションで、スキャンに含めるすべての検証済み/許可済みドメインを追加する必要があります。以下の両方の形式が有効です。
- https://demo.testfire.net/
- demo.testfire.net
重要: リストされていないドメインはスキャンされません。
認証、テスト・ポリシー、その他の詳細設定など、必要に応じてその他のスキャン・オプションを設定します。詳しくは、「API スキャンの作成」を参照してください。
「スキャン」をクリックします。記録されたトラフィック・ファイルがインポートされます。スキャンを実行して、Web API の脆弱性を検出します。

次のタスク

「スキャンおよびセッション」ページでスキャンの状況を表示できます。