Examen d'API Web
HCL AppScan Enterprise est une solution d'entreprise évolutive qui permet aux organisations de gérer leur programme de sécurité d'application pour leurs applications Web et leurs API Web. Il présente des méthodes et des techniques de pointe pour identifier les vulnérabilités au niveau de la sécurité afin de contribuer à protéger les applications contre la menace de cyberattaques.
Le moteur HCL AppScan Enterprise Dynamic Analysis évalue la sécurité des applications pendant l'exécution en attaquant l'application à l'aide de techniques similaires aux méthodologies utilisées par les pirates informatiques. Le résultat des tests comprend un ensemble riche de données qui passent de l'inventaire d'applications au trafic d'attaque, et peut être reproduit pour validation et réparation. Ces données peuvent être examinées et traitées dans l'interface utilisateur ou exportées dans plusieurs formats afin d'être partagées dans d'autres outils.
Pour examiner une API Web, AppScan Enterprise doit obtenir le trafic d'API généré, puis utiliser ces données pour effectuer des tests de manière automatisée.
Il existe quelques façons de fournir à AppScan Enterprise les données pour l'examen d'API :
- Enregistrer le trafic à l'aide d'AppScan Dynamic Analysis Client (ADAC)
- Utilisation de l'intégration Postman ou SoapUI
- Utilisation d'un autre client externe
- Enregistrer le trafic à l'aide d'HCL AppScan Traffic Recorder
- Examen à l'aide d'une collection Postman
- Charger le trafic à l'aide d'ADAC
- Utiliser l'API REST pour créer un examen et charger du trafic
- Créez un examen d'API à l'aide d'AppScan Standard, puis chargez le fichier dans AppScan Enterprise pour réaliser l'examen. Voir Enregistrement à l'aide d'un client externe et Importation des données d'exploration manuelle depuis AppScan Standard.
Pour plus d'informations sur les différentes méthodes utilisées pour capturer et importer des données de trafic, voir Capture et importation des données de trafic.
Lors de la création d'un examen d'API, si vous avez une authentification au site, il est recommandé de fournir un enregistrement de séquence de connexion.