使用 REST API 的 IAST
透過 REST API 配置並啟動 IAST 掃描,包括代理程式部署。
開始之前
另請參閱 Swagger 的下列資源:
程序
- 取得 API 金鑰。
-
透過執行下列其中一項,取得要在其中執行掃描的應用程式 ID:
- 在使用者介面中,開啟特定應用程式的標籤,然後檢視 URL。單字「scans」之前的最後一部分是 ID。例如,在這種情況下:
應用程式 ID 是:cloud.appscan.com/AsoCUI/serviceui/main/myapps/app01/123456a-78b-90c-123ab4c/scans
123456a-78b-90c-123ab4c
- 或者,您可以透過 REST API GetApps 端點取得使用者(API 金鑰)的全部應用程式 ID 清單:
request URL: GET https://cloud.appscan.com/api/v4/Apps headers: "Authorization=Bearer <api key>" Parameters: “$select=Id"
- 在使用者介面中,開啟特定應用程式的標籤,然後檢視 URL。單字「scans」之前的最後一部分是 ID。例如,在這種情況下:
-
使用 CreateIastAnalyzerScan 端點建立 IAST 掃描:
request URL: POST https://cloud.appscan.com/api/v4/Scans/IASTAnalyzer headers: " Authorization=Bearer <token>, Accept: application/json, Content-Type: application/json" Json: { "ConnLostStopTimer": true, "ScanName": <scanName>, "EnableMailNotification": true, "Locale": "en-US", "AppId": <appId>, "Personal": false }
主體是輸入參數 scanModel,這是具有下列欄位的 json 結構:ScanName
是您為掃描提供的名稱AppId
(請參閱上一步)ConnLostStopTimer
是選用的逾時值(以分鐘為單位),如果代理程式連接中斷,該逾時可停止掃描。如果保留空白,則即使代理程式連接中斷,掃描也將繼續進行,而且沒有需要報告的項目。可能的使用情況是防止其他使用者在這段期間取得授權。- 除非要將掃描作為個人掃描執行,否則應將
Personal
設定為false
。
ScanId
。儲存此內容以便在下一步中使用。 -
下載代理程式,此代理程式已預先配置為向上一步中建立的掃描報告問題。使用 Tools/DownloadWithKey 端點執行此動作。
request URL: GET https://cloud.appscan.com/api/v4/Tools/IastAgentWithKey?scanId==<scan_id> headers: "Authorization=Bearer <api key>, Accept: application/zip"
scan_id
是上一步結束時儲存的 ID。 -
在應用程式伺服器上部署 IAST 代理程式。
代理程式現在正在監視應用程式的流量,並向 ASoC 報告偵測到的漏洞。
-
將流量傳送到應用程式以供 IAST 監視。這可以是一般的系統測試或 DAST 掃描。
現在,發現的問題會記錄在 IAST 掃描中。