使用 Postman 集合建立 API 掃描
如果您對 Web API 有要求的 Postman 集合,可以透過使用 API 掃描配置精靈或 REST API 來將其匯入並用作掃描基礎。
開始之前
- 在掃描之前先備份網站。
- 如果您尚未執行此操作,請為您的掃描建立應用程式。
- 如果您的網站無法在網際網路上存取,而且伺服器上還未存在 AppScan Presence :建立 AppScan Presence。
- 如果要掃描即時正式作業網站,請先參閱 掃描即時正式作業網站時,我應該進行哪些變更?
- 如果 Web API 需要授權,則授權要求必須包括有效的認證(API 金鑰、基本鑑別、OAuth 2 重新整理記號,或其他固定記號和密碼)。授權要求必須是集合中前幾個要求之一。根據預設,AppScan 會針對授權要求檢查前七個要求。限制: 不支援需要使用者存在的鑑別方法,例如「含提示使用者的 OAuth2」。不過,您可以搭配使用 OAuth2 與離線 授與類型,而此授與類型使用重新整理記號(也稱為服務記號)。
執行這項作業的原因和時機
程序
- 在「應用程式」頁面上,按一下「建立掃描」,然後按一下「DAST 動態分析」下的「建立掃描」。
- 在「建立掃描: DAST」對話框,選擇「API 掃描」以開始設定。
- 選取 API 探索方法「Postman 集合」。
-
按一下「選取 Postman 集合」以新增您的 Postman 集合。
註: 支援 Postman 集合 2.0 版和更新版本。
-
在「Postman 集合檔案」區域中,上傳下列檔案:
- Postman 集合檔案:瀏覽並上傳 Postman 集合 JSON 檔案。副檔名必須是 .json
- 連結的檔案(選用):如果集合包含其他檔案的連結,您必須將其全部併入單一 ZIP 檔案中,然後在此處選取。以下為適用的條件:
- 檔案路徑必須是集合的相對路徑,而不是絕對路徑
- 檔案必須位於「Postman 集合」資料夾內(可以是子資料夾),而不是在資料夾之外
- 路徑必須與 Postman 中使用的路徑相同
- Postman 環境檔案(選用):如果您的集合使用環境變數,您必須瀏覽並新增「Postman 環境」JSON 檔案。
- Postman 全域檔案(選用):如果您的集合使用全域變數,您必須瀏覽並新增「Postman 全域」JSON 檔案。
註: AppScan 360° 將檔案上傳限制為 2GB。 -
在「要測試的網域」區段中,您必須新增要包含在掃描中的所有經過驗證/獲得允許的網域。這兩種格式都有效:
https://demo.testfire.net/demo.testfire.net
重要: 未列出的網域不會經過掃描。 - 如果您的集合包含登入認證,請確定它是集合中前幾個要求之一。根據預設,AppScan 會針對授權要求檢查前七個要求。
- 根據需要配置其他掃描選項,例如鑑別、測試原則和其他進階設定。如需相關資訊,請參閱建立 API 掃描。
-
按一下「掃描」以執行掃描來偵測您 Web API 中的任何漏洞。
註:
- 在您將 Postman 集合新增至配置之後,就無法將其匯出為 SCANT(範本)檔案,因為集合無法併入範本中。
-
目前每次掃描只能匯入一個 Postman 集合。
下一步
- 您可以在掃描和階段作業頁面上檢視掃描狀態。
使用 REST API
您可以透過 REST API 使用 Postman 集合。
程序
-
使用 REST API 上傳 Postman 集合檔案。
註: AppScan 360° 將檔案上傳限制為 2GB。
-
您可以使用 REST API 啟動掃描,而無需 .scan 檔案,如下所示:
