自動化 DAST 掃描

在功能測試中納入動態掃描。

在 DevOps 的領域中,能夠在 Web 應用程式的功能測試程序中納入安全掃描越來越重要。如果您使用自動化架構(如 Selenium),可以利用已經撰寫好的 Script 來建立自訂的掃描:
  • 從自動化架構送往 Web 應用程式的要求會透過 Proxy Server Proxy 傳送。
  • 伺服器會記錄流量並將之另存為 dast.config 檔案。
  • 上傳檔案供 AppScan 360° 用來作為探索資料進行掃描。
  • 手動透過自動化伺服器 Proxy 傳送資料流量來建立 dast.config 檔案。

AppScan 360° 自動化工作流程:
  1. 執行掃描:
    1. 啟動 Proxy(依照配置,在指定的埠或隨機選取的埠上接聽)(請參閱 啟動和停止 HCL AppScan 資料流量記錄器)。
    2. 透過選取的 Proxy 執行 Selenium Script(或其他功能測試)。

      使用被配置為透過選取的 Proxy 運作的 Web 瀏覽器,手動瀏覽 Web 應用程式。

    3. 停止 Proxy,並儲存資料流量記錄。
    4. 在特定應用程式下建立新掃描,使用 AppScan 360° REST API 發佈至 AppScan 360°。請參閱REST API
您可以使用 REST API 下載此工作流程的示範 Script。下載示範 Script
註: 若要使用具有 AppScan 360° 的示範 Script:
  • 在 Python Script 中,使用 AppScan 360° 伺服器的 URL 來取代 self.asoc_base_url
  • 變數 self.asoc_presence_id 不適用於 AppScan 360°
另請參閱: