Postman コレクションを使用した API スキャンの作成

Web API への要求の Postman コレクションがある場合は、それをインポートし、API スキャン設定ウィザードまたは REST API を使用して、スキャンの基礎として使用できます。

始める前に

  • Web API で許可が必要な場合、許可要求には、有効な資格情報 (API キー、基本認証、OAuth 2 リフレッシュ・トークン、またはその他の固定トークンとパスワード) が含まれている必要があります。許可要求はコレクションの最初の要求の 1 つである必要があります。デフォルトでは、AppScan は許可要求かどうか最初の 7 つの要求を調査します。
    制限: プロンプト・ユーザーを使用する OAuth2 など、ユーザーがいる必要がある認証方式はサポートされていません。ただし、リフレッシュ・トークン (サービス・トークンとも呼ばれます) を使用するオフラインの付与タイプで OAuth2 を使用できます。

このタスクについて

インポートの後、AppScan はコレクションを使用して独自の探査のステージを実行し、結果のデータを「スキャンおよびセッション」ビューに表示します。

手順

  1. 「アプリケーション」ページで「スキャンの作成」をクリックし、「DAST 動的分析」「スキャンの作成」をクリックします。
  2. 「スキャンの作成」で、次の操作を行います。「DAST」ダイアログで、「API スキャン」を選択して構成プロセスを開始します。
  3. API 探査方法の「Postman コレクション」を選択します。
  4. 「Postman コレクションを選択」をクリックして、Postman コレクションを追加します。
    注: Postman コレクションのバージョン 2.0 以降がサポートされています。
  5. 「Postman コレクション・ファイル」領域に、以下のファイルをアップロードします。
    1. Postman コレクション・ファイル: Postman コレクション JSON ファイルを参照してアップロードします。ファイル拡張子は .json でなければなりません
    2. リンクされたファイル (オプション): コレクションに他のファイルへのリンクが含まれている場合は、それらすべてを単一の ZIP ファイルに含め、ここで選択する必要があります。以下の条件が適用されます。
      1. ファイル・パスは、絶対パスではなく、コレクションに対する相対パスである必要があります
      2. ファイルは Postman コレクション・フォルダー内に配置する必要があります (サブ・フォルダーでもかまいません)。外部に配置することはできません
      3. パスは Postman で使用されるパスと同じでなければなりません
    3. Postman 環境ファイル (オプション): コレクションで環境変数を使用する場合は、Postman 環境 JSON ファイルを参照して追加する必要があります。
    4. Postman Globals ファイル (オプション): コレクションでグローバル変数を使用する場合は、Postman Globals JSON ファイルを参照して追加する必要があります。
  6. 「テストするドメイン」セクションで、スキャンに含めるすべての検証済み/許可済みドメインを追加する必要があります。以下の両方の形式が有効です。
    • https://demo.testfire.net/
    • demo.testfire.net
    重要: リストされていないドメインはスキャンされません。
  7. コレクションにログイン資格情報が含まれている場合は、それがコレクション内の最初の要求のいずれかであることを確認します。デフォルトでは、AppScan は許可要求かどうか最初の 7 つの要求を調査します。
  8. 認証、テスト・ポリシー、その他の詳細設定など、必要に応じてその他のスキャン・オプションを設定します。詳しくは、「API スキャンの作成」を参照してください。
  9. 「スキャン」をクリックしてスキャンを実行し、Web API の脆弱性を検出します。
    注:
    • 構成に Postman コレクションを追加すると、そのコレクションをテンプレートに含めることができなくなるため、そのコレクションを SCANT (テンプレート) ファイルとしてエクスポートすることはできません。

    • 現在、スキャンごとにインポートできる Postman コレクションは 1 つのみです。

次のタスク

  • 「スキャンおよびセッション」ページでスキャンの状況を表示できます。

REST API を使用

Postman コレクションを REST API を通じて使用できます。

手順

  1. REST API を使用して Postman コレクション・ファイルをアップロードします。
  2. REST API を使用すると、次のように .scan ファイルを必要とせずにスキャンを開始できます。
    REST API における Postman ファイル・セクション