動態掃描 (DAST)
ASoC 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 ASoC 中的配置選項,或上傳 AppScan Standard 配置(範本檔案)或完整掃描檔。
DAST 掃描精靈提供三個路徑:
選項 | 說明 |
---|---|
建立新掃描 | 使用 ASoC 精靈選項,以配置及執行掃描。
|
上傳範本檔案 | 若您有 AppScan Standard 範本 (SCANT) 檔案,便可用來做為 ASoC 掃描的配置。如此一來,您便能善用 AppScan Standard 中所有可用的配置選項。AppScan Standard 範本也包含登入記錄和多步驟配置。 該範本不包含「手動探索」,但您可以上傳資料流量記錄(DAST.CONFIG 檔),確保涵蓋到應用程式的特定部分。 |
上傳掃描檔案 | 若您有 AppScan Standard 掃描 (SCAN) 檔案,便可用來做為 ASoC 掃描的配置。 「手動探索」、「多步驟」作業和 Web API 檔,例如儲存在 SCAN 檔的 Postman 集合,皆會包含進掃描中。 您可以執行完整掃描,或使用檔案中的現有探索日期,僅執行掃描的測試階段。 |
掃描 Web API
掃描 Web API 時,請注意下列事項:
- 「自動探索」不適用於 Web API,所以您必須提供資料流量記錄。請參閱 記錄資料流量
- 若您有 Postman 集合,您可以:
- 使用 REST API 上傳 Postman 集合檔案。您可以使用 REST API 啟動掃描,而無需 .scan 檔案,如下所示:
- 將 Postman 集合匯入至 AppScan Standard,儲存為 SCAN 檔案,然後 從掃描檔案中建立新掃描。
相關主題
如需動態分析已測試之「威脅分類」的清單及其相關 CWE,請參閱 動態分析。