Configurer les analyses DAST avec une URL de collection Postman en utilisant les API REST

Vue d'ensemble

Cette section explique comment utiliser l'API REST dansAppScan Enterprise pour configurer les analyses de Dynamic Application Security Testing (DAST) en fournissant une URL à une collection Postman. Cette fonctionnalité permet l'automatisation des configurations de scan en utilisant vos collections Postman existantes, ce qui peut être particulièrement utile lors de la configuration deAppScan travaux d'Analyse Dynamique Client (ADAC) ou d'autres analyses dynamiques. Cette méthode pilotée par API offre un moyen d'effectuer cette configuration directement au sein deAppScan Enterprise , remplaçant les étapes manuelles qui étaient souvent gérées auparavant viaAppScan Standard.

Remarque :
  • Cette API est spécifiquement destinée aux tâches DASTConfig et ne peut pas être utilisée avec les tâches Content-Scan.
  • Si un travail DASTConfig a déjà une URL de collection Postman configurée, l'utilisation de cette API remplacera l'URL existante.

Point de terminaison API pour la configuration de l'URL dans Postman

  • POST /jobs//{jobId}dastconfig/postman/url/add – Ajouter une URL de collection Postman à un travail DASTConfig.

Prérequis

  • Vous aurez besoin d'un travail DASTConfig existant. Vous pouvez créer des tâches DASTConfig en utilisant l'une des API existantes suivantes :
    • POST/jobs/{templateId}/dastconfig/createjob
    • POST/jobs/createjobBasedOnTemplateFile
    • POST/emplois
  • L'identifiant de travail (Integer) du travail DASTConfig est requis. Cela peut être récupéré en utilisant le point de terminaison API GET /folders//{folderId}jobs.
  • Un jeton asc_xsrf_token valide est requis pour l'authentification des requêtes API et peut être obtenu à partir du point de terminaison API POST /login. Ce jeton doit être envoyé en tant qu'en-tête de requête, généralement nommé asc_xsrf_token ou similaire, avec sa valeur correspondante.
  • Nous recommandons d'utiliser le modèle « Scan régulier » pour éviter tout problème de performance.
    Remarque :
    Si l'API web nécessite une autorisation, la demande d'autorisation doit inclure des identifiants valides (clé API, Authentification de base, ou d'autres jetons fixes et mots de passe). La demande d'autorisation doit être l'une des premières requêtes de la collection. Par défautAppScan Enterprise, examine les sept premières requêtes pour la demande d'autorisation, mais si nécessaire, cela peut être augmenté dans le client ADAC sous Configuration avancée > Postman : Taille de l'échantillon pour l'analyse de connexion.

Référence de l'API : POST /jobs//{jobId}dastconfig/postman/url/add

Ce point de terminaison API vous permet de configurer un travail DASTConfig existant dansAppScan Enterprise pour utiliser une collection Postman, fournie via une URL, afin de définir le périmètre de l'analyse et les interactions avec l'API.

Méthode HTTP et point de terminaison : POST /jobs//{jobId}dastconfig/postman/url/add

Paramètres de chemin :

  • jobId (Entier, Obligatoire) : L'identifiant unique du travail DASTConfig.

Paramètres de la requête :

  • postmanCollectionUrl (String, Required): L'URL de la collection Postman (par exemple, http://example.com/collection.json).
  • envVariablesUrl (String, Optionnel) : L'URL vers un fichier JSON d'environnement Postman.
  • globalVariablesUrl (String, Optionnel) : L'URL vers un fichier JSON de variables globales de Postman.
  • postmanAdditionalFiles (Fichier, Optionnel) : Une archive zip contenant tous les fichiers externes requis par la collection Postman (par exemple, data.zip). Taille maximale : 80 Mo.
  • domainsToBeTested (String, Required): Une liste de domaines, séparés par des virgules, qui seront analysés en fonction de la collection (par exemple, api.example.com, auth.example.com).

En-têtes de requête (Exemple) :

  • asc_xsrf_token: {your_obtained_token_value}
  • Type de contenu : multipart/form-data (si des fichiers supplémentaires de Postman sont inclus) ou application/json (si seules des URL sont envoyées, bien que les données de formulaire soient généralement recommandées par les retours d'expérience pour cette API).
Remarque :
  • Utilisez l'option form-data pour configurer l'API, notamment lors de l'inclusion de postmanAdditionalFiles. Les noms de paramètres énumérés ci-dessus sont les clés (noms) des champs de formulaire, et les URL, les téléchargements de fichiers, ainsi que les listes de domaines en sont les valeurs respectives.
  • Assurez-vous que toute authentification requise par les API cibles au sein de la collection Postman est correctement gérée (comme mentionné dans les prérequis ou dans les variables de collection/environnement).
  • La version 2.0 et les versions ultérieures de la collection Postman sont prises en charge.
  • L'extension d'URL de la collection Postman doit être .json.
  • Les domaines non inclus dans domainsToBeTested ne seront pas scannés.
  • Lorsque vous ajoutez une URL de collection Postman à un travail DAST, les URL sont enregistrées dans le fichier modèle. Cependant, des fichiers supplémentaires ne sont pas inclus dans le modèle. Pour y accéder, téléchargez le fichier SCAN.
  • Seule une URL de collection Postman peut être ajoutée par analyse. Pour analyser une deuxième URL de collection, créez une nouvelle analyse pour cette collection.

Réponse :

  • En cas de succès, l'API renvoie un code de statut HTTP 200 OK.
  • Pour les détails des erreurs, consultez la documentation Swagger de l'API.