使用 REST API 的 IAST

透過 REST API 配置並啟動 IAST 掃描,包括代理程式部署。

開始之前

如需 ASoC REST API 的一般資訊,請參閱 REST API
另請參閱 Swagger 的下列資源:

程序

  1. 取得 API 金鑰。
  2. 透過執行下列其中一項,取得要在其中執行掃描的應用程式 ID:
    • 在使用者介面中,開啟特定應用程式的標籤,然後檢視 URL。單字「scans」之前的最後一部分是 ID。例如,在這種情況下:
      cloud.appscan.com/AsoCUI/serviceui/main/myapps/app01/123456a-78b-90c-123ab4c/scans
      應用程式 ID 是:123456a-78b-90c-123ab4c
    • 或者,您可以透過 REST API GetApps 端點取得使用者(API 金鑰)的全部應用程式 ID 清單:
      request URL:
                        GET https://cloud.appscan.com/api/v4/Apps
                        headers:
                        "Authorization=Bearer <api key>"
                        Parameters:
                        “$select=Id"
  3. 使用 CreateIastAnalyzerScan 端點建立 IAST 掃描:
    request URL:
                POST https://cloud.appscan.com/api/v4/Scans/IASTAnalyzer
                headers:
                " Authorization=Bearer <token>, Accept: application/json, Content-Type: application/json"
                Json: {
                "ConnLostStopTimer": true, 
                "ScanName": <scanName>, 
                "EnableMailNotification": true, 
                "Locale": "en-US", 
                "AppId": <appId>, 
                "Personal": false
                }
    主體是輸入參數 scanModel,這是具有下列欄位的 json 結構:
    • ScanName 是您為掃描提供的名稱
    • AppId(請參閱上一步)
    • ConnLostStopTimer 是選用的逾時值(以分鐘為單位),如果代理程式連接中斷,該逾時可停止掃描。如果保留空白,則即使代理程式連接中斷,掃描也將繼續進行,而且沒有需要報告的項目。可能的使用情況是防止其他使用者在這段期間取得授權。
    • 除非要將掃描作為個人掃描執行,否則應將 Personal 設定為 false
    回應主體包括 ScanId。儲存此內容以便在下一步中使用。
  4. 下載代理程式,此代理程式已預先配置為向上一步中建立的掃描報告問題。使用 Tools/DownloadWithKey 端點執行此動作。
    request URL:
              GET https://cloud.appscan.com/api/v4/Tools/IastAgentWithKey?scanId==<scan_id>
              headers:
              "Authorization=Bearer <api key>, Accept: application/zip"
    scan_id 是上一步結束時儲存的 ID。
  5. 在應用程式伺服器上部署 IAST 代理程式。
    代理程式現在正在監視應用程式的流量,並向 ASoC 報告偵測到的漏洞。
  6. 將流量傳送到應用程式以供 IAST 監視。這可以是一般的系統測試或 DAST 掃描。
    現在,發現的問題會記錄在 IAST 掃描中。