使用 Postman 集合创建 API 扫描

如果您针对 Web API 的请求的 Postman 集合,那么您可以使用 API 扫描配置向导或 REST API 将其导入并用作扫描的基础。

开始之前

  • 如果 Web API 需要授权,那么授权请求必须包含有效凭证(API 密钥、基本认证、OAuth 2 刷新令牌或其他固定令牌和密码)。授权请求必须是集合中第一批请求中的一个。缺省情况下,AppScan 会检查授权请求的前七个请求。
    限制: 不支持需要用户在场的认证方法,例如带有提示用户的 OAuth2。但是,您可以将 OAuth2 与使用刷新令牌(也称为服务令牌)的脱机授权类型结合使用。

关于此任务

导入后,AppScan 会使用该集合运行自己的探索阶段,并在扫描和会话视图中显示生成的数据。

过程

  1. 应用程序页中,单击创建扫描,然后单击 DAST 动态分析下的创建扫描
  2. 创建扫描:DAST 对话框中,选择 API 扫描以开始配置过程。
  3. 选择 API 探索方法 Postman 集合
  4. 单击选择 Postman 集合以添加您的 Postman 集合。
    注: 支持 Postman 集合 V2.0 及更高版本。
  5. 在 Postman 集合文件区域中,上载以下文件:
    1. Postman 集合文件:浏览并上载 Postman 集合 JSON 文件。文件扩展名必须是 .json
    2. 链接的文件(可选):如果集合包含指向其他文件的链接,则必须将其全部包含在一个 ZIP 文件中,然后在此处选择该 ZIP 文件。以下条件适用:
      1. 文件路径必须是相对于集合的相对路径,而不是绝对路径
      2. 文件必须位于 Postman Collection 文件夹中(可以是子文件夹),而不是位于该文件夹外
      3. 路径必须与 Postman 中使用的路径相同
    3. Postman Environment 文件(可选):如果您的集合使用环境变量,则您必须浏览并添加 Postman Environment JSON 文件。
    4. Postman Globals 文件(可选):如果您的集合使用全局变量,则您必须浏览并添加 Postman Globals JSON 文件。
    注: AppScan 360° 将文件上载限制为 2GB。
  6. 在“要测试的域”部分中,您必须添加要包括在扫描中的所有已验证/允许的域。这两种格式都有效:
    • https://demo.testfire.net/
    • demo.testfire.net
    重要: 未列出的域不会扫描。
  7. 如果您的集合包括登录凭证,请确保它是集合中第一批请求之一。缺省情况下,AppScan 会检查授权请求的前七个请求。
  8. 根据需要配置其他扫描选项,例如认证、测试策略和其他高级设置。有关更多信息,请参阅创建 API 扫描
  9. 单击扫描以运行扫描来检测 Web API 中是否存在任何漏洞。
    注:
    • 将某个 Postman 集合添加到配置后,就无法将其导出为 SCANT(模板)文件,因为该集合不能包含在模板中。

    • 目前,每次扫描只能导入一个 Postman 集合。

下一步做什么

  • 您可以在 扫描和会话页面上查看扫描的状态。

使用 REST API

您可以通过 REST API 使用 Postman 集合。

过程

  1. 使用 REST API 上载 Postman 集合文件。
    注: AppScan 360° 将文件上载限制为 2GB。
  2. 借助 REST API,您无需 .scan 文件即可启动扫描,如下所示:
    REST API 中的 Postman 文件部分