建立 API 掃描
ASoC 支援用於掃描 Web API 的不同工作流程。如果您對 Web API 有 Postman 集合、OpenAPI 規格檔或記錄的流量,可以透過使用 API 掃描配置來將其匯入並作為掃描基礎。或者,您也可以將 Postman 集合檔案或 OpenAPI 規格檔與 REST API 搭配使用。
開始之前
- 在掃描之前先備份網站。
- 如果您尚未執行此操作,請為您的掃描建立應用程式。
- 請向 ASoC 驗證您具有掃描網域的許可權(請參閱驗證網域),或者您也可以在不使用網域管理進行驗證的情況下授權網域。
- 如果您的網站無法在網際網路上存取,而且伺服器上還未存在 AppScan Presence :建立 AppScan Presence。
- 如果要掃描即時正式作業網站,請先參閱 掃描即時正式作業網站時,我應該進行哪些變更?
執行這項作業的原因和時機
程序
- 在特定「應用程式」頁面上,按一下「建立掃描」,然後按一下「DAST 動態分析」下的「建立掃描」。
- 在「建立掃描: DAST」對話框,選擇「API 掃描」以開始設定。
-
API
選取 API 探索方法:
- 目標:私有網站掃描
預設為公開網站掃描。如果您的網站無法在網際網路上使用,請按一下「私有網路」。從已連線的 Presence 清單中選擇您的 Presence。
如果尚未建立 AppScan Presence,您可以藉由按一下 Presence 連結,並且參照至 建立 AppScan Presence 來立即建立。
-
目標:排除路徑
從掃描中排除 API 中的特定路徑。您可以將 URL(完整路徑,可包括查詢)或「正規表示式」新增到排除的路徑清單中,來過濾自動「探索」階段的範圍。執行這個動作的可能原因如下:
- 因為它們仍在開發中,您知道它們有問題,不想立即掃描它們
- 因為您知道它們沒有問題,且您要縮短掃描時間
- 將掃描限制於應用程式的特定部分,以縮短掃描時間
您也可以併入要掃描的特定路徑,做為排除的路徑的一個例外。
設定
選項
+ 新增路徑
在清單下方顯示選項以將路徑做為排除項目或例外新增至掃描。
排除項目 從掃描中排除列出的路徑。任何鏈結,只要符合配置排除的路徑,便會從掃描中過濾掉。 - 路徑:輸入路徑或正規表示式。如果路徑是正規表示式,請選取 RegEx 切換按鈕。
- 說明(選用):新增將顯示在「排除路徑」清單中的說明。
- 排除項目:選取圓鈕以新增排除項目,然後按一下「新增」。除非您定義任何例外,否則將會從掃描中排除列出的路徑及其子目錄。
例外 用來併入清單的較高位置已排除之路徑內的特定目錄或檔案。 - 路徑:輸入路徑或正規表示式。如果路徑是正規表示式,請選取 RegEx 切換按鈕。
- 說明(選用):新增將顯示在「排除路徑」清單中的說明。
- 例外:選取圓鈕以將例外新增至清單的較高位置已排除之路徑內的特定目錄,然後按一下「新增」。列出的路徑將併入掃描中。請注意,「例外」必須在「排除項目」之下,才會生效。
註:- 只有在您要併入已排除之路徑內的目錄或檔案時,才需要使用「例外」。例如,如果您已排除 https://demo.testfire.net/bank,您可以新增 https://demo.testfire.net/bank/queryxpath.jsp 作為清單中較低位置的「併入項目」,以便將這個子目錄併入掃描中。
- 如果您將「排除項目」新增到掃描的「探索」和「測試」階段之間,即使已探索過排除的路徑,AppScan 也不會測試這些路徑。
- 如果清單中兩個項目之間有衝突,較低的項目優先。按一下清單中的項目並拖曳,即可上下移動項目,並視需要調整項目的順序。
-
鑑別和連線功能:API 鑑別
如果您的匯入資料需要登入記錄,請上傳,使 AppScan 可掃描需要鑑別的端點。您也可以使用第三方工具記錄登入,並上傳檔案到此處。API 金鑰驗證適用於 OpenAPI。
設定
選項
已記錄
- 上傳記錄
- 若需特殊登入程序,請選取此選項來上傳程序記錄,供 ASoC 在掃描期間登入應用程式時使用。您可以使用 AppScan 活動記錄器(儲存為
CONFIG檔)或 AppScan Standard(匯出為LOGIN檔)來建立此記錄。重要: 記錄的登入步驟必須包含下列要求:- 一個登入或授權要求
- 其他登入/授權要求。這個額外的要求有助於 AppScan 在測試應用程式時,確認授權成功並維持工作階段。
API 金鑰 ASoC 支援 API 驗證,以掃描需要 API 金鑰的 API,例如 OpenAPI。輸入至少一個「金鑰名稱」和「金鑰值」。如有需要,可新增另一組金鑰名稱和值。這些值將儲存起來,供 API 驗證時使用。 自動 選取這個方法,可讓 AppScan® 自動偵測應用程式的登入表單,然後使用您提供的使用者名稱和密碼。您也可以輸入第三項認證資訊(選填),例如 PIN# = 1234。不過,使用第三項認證資訊需要 ASoC 支援團隊協助,且掃描時間可能較長。註: 不支援 CAPTCHA。無 無需特殊登入程序時使用此選項。 -
鑑別和連線功能:HTTP 鑑別
除了「登入」資訊之外,指出應用程式是否需要 HTTP 鑑別(Negotiate、NTLM、Kerberos、ADFS、Basic 或 Digest)。輸入要讓 ASoC 在掃描期間使用的使用者名稱、密碼,以及網域(選擇性)。
-
鑑別和連線功能:通訊
設定 ASoC 能夠同時傳送至網站的要求數上限。
設定
選項
執行緒數
如果您的網站不允許此數量,請降低限制;如果您的網站完全不允許同時執行緒,請將限制降到 1。
伺服器通訊逾時
- 掃描期間自動調整
- 允許 ASoC 決定在逾時之前等待任何特定回應的時間長度。這可以大幅降低掃描時間。
- 已修正
- 設定 ASoC 在逾時之前等待回應的時間上限。如果網站的回應速度緩慢,且 ASoC 由於逾時時間較短而缺少回應,請提高此設定。
要求率上限
依預設,ASoC 會儘快將其要求傳給網站。若此限制使您的網路或伺服器超載,您可以減少限制。
-
鑑別和連線功能:表單填入
啟用時,ASoC 會使用 AppScan Standard 預設自動表單填入參數,在掃描期間自動完成表單。無法使用精靈變更此設定。
設定
選項
自動表單填入
ASoC 使用 AppScan Standard 的預設表單填入參數值在掃描期間填入並提交表單。註: 如果您關閉 AppScan on Cloud 中的自動表單填入並進行掃描,除了登入管理資料以外,將會移除表單中填入的所有資訊。AppScan 將不會在掃描期間自動填入表單。當您將此掃描匯入 AppScan Standard 時,即會啟用自動表單填入,但除了登入管理之外,表單填入資料將會為空白。 - 測試:測試原則和最佳化
-
測試:測試選項
選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。
設定
選項
登入/登出測試 選擇是否傳送登入和登出頁面上的測試。如果您選擇傳送登入頁面上的測試,請指定是否傳送階段作業 ID。 報告漏洞元件 AppScan 會尋找第三方元件中的漏洞,並建議更新。 -
喜好設定:排程
指定掃描執行時間:現在、稍後或排程。
設定
選項
立即掃描
一旦設定和檢閱完成,系統就會執行您的掃描。
儲存以便稍後使用
完成後會儲存您的配置。您可以稍後再執行掃描。
排程 系統會儲存您的配置,並依配置執行一項或多項掃描。- 選取一個日期和時間。請根據您機器上配置的時區來輸入這些資料,但請注意,使用者介面中顯示的時間會轉換成 UTC。
- 如果要多次執行掃描,請選取重複,然後選擇:
- 每日,並選取每日間隔 (1-30 天)
- 每週,並選取日子,或
- 每月,選取每月間隔,然後選取月份的數字日期,或月份的某工作日(第一、第二、第三、第四、最後一個)。
註: 當排定的時間到達時,如果並行掃描的數目已達到上限,掃描勍會在您的訂閱允許時立即開始。 - 設定結束日期(執行掃描的最後日期),或按一下移除結束日期,讓排程無限期執行。
-
喜好設定:掃描選項
在掃描選項面板中,您可選擇以個人掃描形式執行掃描。
-
摘要
視需要編輯掃描名稱,並檢閱為掃描選取的設定。如有需要,按一下「上一步」返回上一個畫面以進行調整。
- 按一下「掃描」。
結果
下一步
請參閱結果。