Postman コレクションを使用したスキャン方法

Web API への要求の Postman コレクションがある場合は、このコレクションを追加して、スキャンの基礎として使用できます。AppScan はコレクションを使用して独自の探査のステージを実行し、結果のデータを「ダッシュボード」ビューに表示します。

Postman コレクションを使用して、以下の方法でスキャン・ジョブを作成および実行できます。
注:
  • Postman コレクションの追加は、コンテンツ・スキャン・ジョブには適用されません。
  • ADAC を使用して Postman コレクション・スキャン・ジョブを作成または編集することはできません。

AppScan Enterprise での AppScan Standard スキャン・ジョブの使用

AppScan Standard を使用してスキャン・ジョブに Postman コレクションをインポートし、このジョブを AppScan Enterprise に複製できます。

スキャン・ジョブでコレクションを使用するには、次の手順を実行します。
  1. AppScan Standard で、 「 Postman コレクションのインポート」オプションを使用してスキャン・ジョブを作成します。詳しくは、「Postman コレクションを使用したスキャン」を参照してください。
  2. メニュー・バーで、「AppScan Connect」 > 「AppScan Connect ログイン」をクリックします。AppScan Enterprise サインイン情報の構成:
    1. ユーザー ID とパスワードでサインインするには、次の手順を実行します。
      1. 「ユーザー ID とパスワードでログイン」を選択します。
      2. URL フィールドに、AppScan Enterprise サーバーのサービス URL を入力します。

        形式: https://[AppScan Enterprise Server]:[Server port]/ase

      3. 有効なユーザー ID (形式 [domain name]\[username] を使用) とパスワードを入力します。
      4. 「ログイン」をクリックします。
    2. クライアント側の証明書またはスマート・カードを使用してサインインするには、次の手順を実行します。
      1. 「クライアント側の証明書 / スマート・カードを使用してログイン」を選択します。
      2. URL フィールドに、AppScan Enterprise サーバーのサービス URL を入力します。

        形式: https://[AppScan Enterprise Server]:[Server port]/ase

      3. 必要な証明書のチェック・ボックスを選択します。
      4. 「ログイン」をクリックします。注: スマート・カードの PIN コードがログインに必要な場合は、ダイアログ・ボックスが表示されるので、入力してください。

      ログインが正常に完了したら、「AppScan Connect」ウィンドウを閉じます。

  3. メニュー・バーで、「AppScan Connect」 > 「AppScan Enterprise にスキャンを作成」をクリックします。
  4. ジョブ名と、オプションで AppScan Enterprise のフォルダー、アプリケーション、テスト・ポリシーを定義します。
    注:
    • フォルダーを選択しない場合、デフォルトの AppScan Enterprise フォルダーが使用されます。
    • 「アプリケーションの選択」ダイアログ・ボックスには、「サーバー上で新規アプリケーションを作成」オプションが含まれます (ユーザー権限で許可されている場合)。
  5. デフォルトでは、「 フル・スキャンを継続」オプションが選択されています。
    注: 選択したオプションに関係なく、「フル・スキャン」オプションが AppScan Enterprise のジョブに適用されます。
  6. 「作成」をクリックします。プロセスが完了すると、ダイアログ・ボックスに緑色の成功メッセージが表示されます。
  7. 「AppScan Enterprise ジョブ」リンクをクリックして、AppScan Enterprise のジョブを表示および実行します。

AppScan Enterprise API の使用

AppScan Enterprise REST API を使用して、スキャン・ジョブを作成し、Postman コレクションを追加してからジョブを実行できます。

スキャン・ジョブでコレクションを使用するには、次の手順を実行します。
  1. 以下のいずれかの API を使用して、スキャン・ジョブを作成します。
    1. POST /jobs/{templateId}/dastconfig/createjob
    2. POST /jobs
    3. POST /jobs/createjobBasedOnTemplateFile
      注: スキャン・ジョブを作成する場合は、パフォーマンスの問題を回避するために「通常」テンプレートを選択することをお勧めします。
  2. 次の API を使用して、Postman コレクションをジョブに追加します: POST /jobs/{jobId}/dastconfig/postman/create
  3. 次の API を使用してスキャン・ジョブを実行します: POST /jobs/{jobId}/actions
    注: API を使用してジョブを作成した後、AppScan Enterprise の「スキャン」ビューからこれらのスキャン・ジョブを表示および実行できます。

詳しくは、「Postman コレクションを使用した API スキャン」の記事を参照してください。API および使用するパラメーターに関する追加情報については、Swagger のページを参照してください。