Création d'un examen d'API à l'aide d'ADAC

Vous pouvez examiner une API Web à l'aide d'ADAC à partir d'AppScan Enterprise, où vous pouvez créer et exécuter un examen DAST. L'examen de l'API Web nécessite une entrée manuelle par l'utilisateur, pour montrer à AppScan Enterprise comment utiliser l'API. Pour ce faire, utilisez la section Exploration manuelle, dans laquelle vous pouvez enregistrer le trafic à l'aide d'un client externe tel que Postman, l'interface utilisateur SOAP ou tout autre client externe, ou importez un fichier de trafic précédemment enregistré.

Pourquoi et quand exécuter cette tâche

Les étapes de base pour créer un examen d'API à l'aide d'ADAC sont abordées.

Procédure

  1. Dans AppScan Enterprise, dans la vue Examens, accédez au dossier dans lequel vous souhaitez créer l'examen et cliquez sur Créer.
  2. Dans la page Création d'un élément de dossier, sélectionnez Travail utilisant un modèle et sélectionnez un modèle d'examen.
    Un modèle d'examen est une configuration d'examen prédéfini. Vous pouvez charger le modèle d'examen standard, un autre modèle prédéfini ou un modèle que vous avez précédemment enregistré. Vous pouvez ensuite ajuster la configuration selon les besoins de l'examen courant. Pour plus d'informations, voir Création d'un examen basé sur un modèle à l'aide des propriétés d'examen AppScan Standard.
    Lorsque vous créez un travail d'examen à l'aide d'un modèle, il lance ADAC.
  3. Dans ADAC, pour configurer votre travail d'examen, procédez comme suit :
    1. Définissez l'URL de départ
    2. Enregistrement d'une séquence de connexion
      Si vous avez déjà enregistré le séquence de connexion, utilisez l'option Importer pour utiliser le fichier enregistré au lieu de l'enregistrement.
    3. Enregistrement du trafic à l'aide d'un client externe
      Vous pouvez également importer un fichier de trafic d'API enregistré précédemment. Pour plus d'informations, voir Capture et importation des données de trafic.
    4. Configurer l'authentification de la plateforme
    5. Configurer les propriétés du travail
    6. Lorsque vous avez terminé, cliquez sur Créer un travail et quittez ADAC.
      Le travail d'examen est créé dans AppScan Enterprise sous vos examens dans la vue Examens.
  4. Dans la vue Examens, sélectionnez l'examen et cliquez sur Exécuter.
    AppScan lance l'examen qui se compose comme suit : L'étape d'exploration, au cours de laquelle il explore votre API Web sur la base du trafic que vous avez chargé et crée des tests, puis l'étape de test, où AppScan teste votre API Web, en fonction des réponses reçues lors de l'étape d'exploration, afin de détecter les faiblesses et évaluer leur degré de gravité.

Que faire ensuite

Lorsque les résultats de l'examen sont prêts, vous pouvez afficher les rapports dans l'onglet Résultats. Les rapports affichent des informations sur votre API Web et permettent d'accéder à des détails supplémentaires. Vous pouvez consulter les résultats pour évaluer le statut de sécurité de votre API Web. Vous pouvez également :
  • explorer des liens supplémentaires ;
  • réviser des tâches de résolution.
  • imprimer des rapports ;
  • Examinez les résultats de l'examen, modifiez la configuration des examens, puis recommencez l'examen.