自动化 DAST 扫描

在功能测试中加入动态扫描。

在 DevOps 环境中,能够将安全性扫描整合到 Web 应用程序的功能测试过程中变得日益重要。如果您使用自动化框架(例如 Selenium),则可以利用已编写的脚本来创建定制扫描:
  • 从自动框架到 Web 应用程序的扫描将通过代理服务器代理来发送。
  • 服务器将记录流量,并将其另存为 dast.config 文件。
  • 上载 AppScan 360° 使用的文件作为扫描的探索数据。
  • 通过自动化服务器代理手动发送流量来创建 dast.config 文件。

AppScan 360° 自动化工作流程:
  1. 运行扫描:
    1. 根据配置在指定或随机选择的端口上开始代理侦听(请参阅 启动和停止 HCL AppScan 流量记录器)。
    2. 通过选定代理运行 Selenium 脚本(或其他功能测试),

      或者

      使用配置为通过选定代理进行工作的 Web 浏览器,手动浏览 Web 应用程序。

    3. 停止代理并保存流量记录。
    4. 通过在特定应用程序下创建新的扫描,使用 AppScan 360° REST API 发布至 AppScan 360°。请参阅REST API
可使用 REST API 下载该工作流程的演示脚本。下载演示脚本
注: 要将演示脚本与 AppScan 360° 一起使用:
  • 在 Python 脚本中,将 self.asoc_base_url 变量替换为 AppScan 360° 服务器的 URL。
  • 该变量 self.asoc_presence_id 不适用于 AppScan 360°
另请参阅: