动态扫描 (DAST)
AppScan 360° 可对在浏览器或 Web API 中运行的应用程序执行动态分析。使用 AppScan 360° 中提供的配置选项,或上载 AppScan Standard 配置(模板文件)或完整扫描文件。
DAST 扫描向导提供三条路径:
选项 | 描述 |
---|---|
创建新扫描 | 使用 AppScan 360° 向导选项配置并运行扫描。
|
上载模板文件 | 如果您具有 AppScan Standard 模板 (SCANT) 文件,那么可以将它用作 AppScan 360° 扫描的配置。这使您能够从 AppScan Standard 中提供的所有配置选项中获益。AppScan Standard 模板还包括登录记录和多步骤配置。 该模板不包括手动探索,但您可以上载流量记录 (DAST.CONFIG file),以确保覆盖应用程序的特定部分。 |
上载扫描文件 | 如果您具有 AppScan Standard 扫描 (SCAN) 文件,那么可以将它用作 AppScan 360° 扫描的配置。 该扫描文件包括手动探索、多步骤操作和 Web API 文件,例如保存在 SCAN 文件中的 Postman 集合。 您可以运行完整扫描或使用文件中的现有探索日期并仅运行扫描的测试阶段。 |
扫描 Web API
扫描 Web API 时,请注意以下事项:
- 自动探索不适用于 Web API,因此您必须提供流量记录。请参阅 记录流量
- 如果您具有 Postman 集合,那么可以将其导入 AppScan Standard,另存为 SCAN 文件,然后从扫描文件创建新扫描。
相关主题
有关在动态分析中测试的威胁类及其相关 CWE 的列表,请参阅 动态分析。