ADAC を使用して API スキャンを作成する方法

DAST スキャンを作成および実行できる AppScan Enterprise から ADAC を使用して Web API をスキャンできます。Web API スキャンでは、ユーザーがいくつか手動入力をして AppScan Enterprise に API の使用方法を示す必要があります。これを行う場合は、「マニュアル探査」セクションを使用します。このセクションでは、Postman や SOAP UI などの外部クライアントを使用してトラフィックを記録したり、以前に記録したトラフィック・ファイルをインポートすることができます。

このタスクについて

ADAC を使用して API スキャンを作成するための基本的なステップについて説明します。

手順

AppScan Enterprise で、「スキャン」ビューから、スキャンを作成するフォルダに移動し、「作成」をクリックします。
「フォルダー項目の作成」ページで、「テンプレートを使用したジョブ」を選択し、スキャン・テンプレートを選択します。
スキャン・テンプレートは定義済みのスキャン構成です。標準的なスキャン・テンプレート、定義済みのテンプレート、以前に保存したテンプレートをロードできます。構成は、後で必要に応じて現在のスキャンに合わせて調整できます。詳しくは、AppScan Standard スキャン・プロパティーを使用したテンプレートに基づくスキャンの作成を参照してください。

テンプレートを使用してスキャン・ジョブを作成すると、ADAC が起動します。
ADAC では、以下のステップを実行してスキャン・ジョブを構成します。
1. 開始 URL を定義します。
2. ログイン手順の記録
  ログイン手順を以前に記録した場合は、「インポート」オプションを使用して、記録の代わりに記録されたファイルを使用します。
3. 外部クライアントを使用してトラフィックを記録する
  以前に記録された API トラフィック・ファイルをインポートすることもできます。詳しくは、トラフィック・データのキャプチャーおよびインポートを参照してください。
4. プラットフォーム認証を構成する
5. ジョブ・プロパティーを構成する
6. 完了したら、「ジョブの作成」をクリックして ADAC を終了します。
  スキャン・ジョブは、「スキャン」ビューのスキャンの下の AppScan Enterprise に作成されます。
「スキャン」ビューで、スキャンを選択し「実行」をクリックします。
AppScan は、以下で構成されるスキャンを開始します。探査のステージでは、アップロードして作成したテストのトラフィックに基づいて Web API をクロールし、テスト・ステージでは、脆弱性を明らかにしてその重大度を評価するために、探査ステージ中に受信した応答に基づいて AppScan が Web API をテストします。

次のタスク

スキャン結果の準備ができたら、「結果」タブにレポートを表示できます。レポートには Web API に関する情報が表示され、さらなる詳細を参照するための機能が提供されます。結果を確認して、Web API のセキュリティー状況を評価できます。また、以下のことが必要な場合があります。

その他のリンクを詳しく見る
修復タスクの確認
レポートを印刷する
スキャン結果の確認、スキャン構成の変更、再スキャン