Welcome
参考
查看该产品的参考信息。
“文件夹资源管理器”主题
了解“文件夹资源管理器”主题。
在文件夹资源管理器中创建扫描
了解如何在文件夹资源管理器中创建扫描。
Web API 扫描
HCL AppScan Enterprise 是一款可扩展的企业解决方案，组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。
如何使用 ADAC 创建 API 扫描
您可以使用 AppScan Enterprise 中的 ADAC 扫描 Web API，您可以在其中创建和运行 DAST 扫描。扫描 Web API 需要用户手动输入，以向 AppScan Enterprise 表明如何使用 API。此手动输入可使用“手动探索”部分完成。在此部分中，您可以使用外部客户机（例如 Postman、SOAP UI 或任何其他外部客户机）记录流量，或者导入先前记录的流量文件。

欢迎
欢迎使用 HCL AppScan Enterprise 10.11.0 文档，您可以在其中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
企业的AppScan®无障碍功能
辅助功能选项可帮助残障人士（例如行动不便或视力不佳）顺利使用信息技术内容。
产品概述
正在安装
了解如何安装该产品。
升级和迁移
了解如何对产品进行升级。
集成
了解如何将产品与其他解决方案集成。
DevOps
了解如何通过 REST API 和插件扩展产品。
最佳实践
了解使用产品的最佳做法。
配置
了解如何配置该产品。
管理
了解如何管理该产品。
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
故障诊断和技术支持
为了帮助您理解、隔离并解决有关 HCL® 软件的问题，故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
参考
查看该产品的参考信息。
- “配置向导”主题
  了解“配置向导”主题。
- “文件夹资源管理器”主题
  了解“文件夹资源管理器”主题。
  - 使用文件夹资源管理器
    了解如何使用文件夹资源管理器。
  - 在文件夹资源管理器中创建扫描
    了解如何在文件夹资源管理器中创建扫描。
    - 使用 AppScan Enterprise 中的扫描属性创建 QuickScan 模板
      QuickScan 模板包含内容扫描作业，或者导入作业以及报告包。在“文件夹”列表的“模板”文件夹中创建扫描模板后，它们将作为扫描模板自动提供给 QuickScan 用户或更高级的用户，这些用户已在“显示文件夹浏览器”列表中打开了“QuickScan 视图”。QuickScan 用户创建扫描时，作业和报告包将基于此模板创建，但对于 QuickScan 用户来说它们仅作为扫描出现。
    - 配置无安全测试的基本扫描
      使用该任务以最低配置来配置基本扫描。此扫描将在您的 Web 应用程序中自动发现更多要测试的 URL。对于具有许多静态链接并不需要大量用户交互的应用程序，请使用此方法。此扫描不会测试安全问题，但是可帮助您开始探索站点以确定完整站点覆盖范围。
    - 使用 AppScan Enterprise 中的扫描属性配置安全扫描
      应在预生产环境中（如登台服务器或“质量保证”服务器上）执行安全扫描。这样做有助于包含与执行安全扫描相关联的风险。预生成环境应该尽可能反映生产环境；应用程序在两个环境中应该具有相同的可执行文件，以便您知道在彻底测试暴露的应用程序。安全扫描还应该集成到软件开发生命周期 (SDLC) 过程中，以便可以在安全问题进入生产环境之前将其捕获。
    - 安全扫描的工作方式
      安全扫描有两个不同的阶段：探索和测试。
    - 安全测试的工作流程
      安全扫描需要认真配置，以便其可以找到 Web 应用程序上的所有 URL，然后测试其弱点。
    - Web API 扫描
      HCL AppScan Enterprise 是一款可扩展的企业解决方案，组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。
      - 如何使用 ADAC 创建 API 扫描
        您可以使用 AppScan Enterprise 中的 ADAC 扫描 Web API，您可以在其中创建和运行 DAST 扫描。扫描 Web API 需要用户手动输入，以向 AppScan Enterprise 表明如何使用 API。此手动输入可使用“手动探索”部分完成。在此部分中，您可以使用外部客户机（例如 Postman、SOAP UI 或任何其他外部客户机）记录流量，或者导入先前记录的流量文件。
      - 如何使用 AppScan 流量记录器记录 Web API 的流量
        您可以使用通过 AppScan 流量记录器完成的记录扫描 Web API。您可以使用 AppScan 流量记录器在 AppScan Enterprise 作业中记录可用作探索数据的流量。AppScan 流量记录器是用于管理流量记录器实例的系统。可按需创建流量记录器实例，以记录稍后可在 DAST 扫描中使用的流量和登录序列。
      - 如何使用 Postman 集合进行扫描
        如果您有针对 Web API 的请求的 Postman 集合，那么您可以添加此集合并将其用作扫描的基础。AppScan 会使用该集合运行自己的探索阶段，并在“仪表板”中显示生成的数据。
    - JavaScript™ 源代码分析的工作方式
      JavaScript™ Security Analyzer (JSA) 执行静态 JavaScript 源代码分析来检测一系列客户机端问题（主要是基于 DOM 的跨站点脚本编制）。JSA 分析 AppScan® Enterprise 在“探索”阶段中收集的 HTML 页面。JSA 与“测试”阶段并行运行，或者可以随时手动对现有“探索”结果启动。
    - 通过高级配置选项优化扫描
      使用此任务来配置具有复杂配置的高级扫描。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域，请使用该方法。
    - 捕获并导入流量数据
    - 从 AppScan Standard 导入基于操作的登录文件
      AppScan Standard 中基于操作的登录功能将生成用户在浏览器中的实际操作，而不仅仅是请求，并将在浏览器中重放此序列。通过在 AppScan Standard 创建基于操作的登录并将其导入 AppScan Enterprise 中来利用该功能，从而帮助在扫描期间避免离开会话的事件。
    - 从 AppScan® Standard 导入手动探索数据
      可以将从 AppScan® Standard V7.x（和更高版本）导出的数据导入到 AppScan Enterprise 中。导入该数据能节省时间并减少冗余的工作量。只有来自 AppScan .exd 文件的 URL（参数和域）与 HTTP 请求才会导入。
    - 导入要在报告中使用的 AppScan® 数据
      导入作业从数据文件获取结果，并将其集成到 AppScan® Enterprise Server 数据库中。导入的数据可用于创建报告和仪表板。它也可以结合来自内容扫描作业的内容来完整展现您的问题。
- 通过报告进行分类
  作业已运行后会自动生成报告。这些报告提供一种管理问题的方法，以便您能够管理对于贵组织很重要的问题，并以 Enterprise Console 的工作流程和贵组织内其他进程的工作流程均支持的方式来完成此目标。
- 配置管理器
- 命令行实用程序
  本节提供有关与AppScan Enterprise一起包含的独立命令行实用程序的信息。这些工具在主要图形用户界面之外执行特定任务。
- AppScan 资源
  集成、帮助程序脚本、实用程序、有用示例、库以及与 HCL AppScan 相关的其他资源的 GitHub 集合。
- 美国政府法规遵从性
  遵守美国政府的安全和信息技术法规有助于消除销售障碍和阻碍。它还向全球潜在客户提供了一个有力的证明，表明HCL®正在努力使其产品成为行业中最安全的产品。本主题列出了AppScan®企业支持的标准和指南。
- WebSocket支持
  AppScan Enterprise 无缝处理使用 JSON 或 XML 消息进行数据交换的 WebSocket 协议，通过自动检测这些协议并在扫描期间执行相应的测试，无需任何特殊配置。
词汇表

如何使用 ADAC 创建 API 扫描

您可以使用 AppScan Enterprise 中的 ADAC 扫描 Web API，您可以在其中创建和运行 DAST 扫描。扫描 Web API 需要用户手动输入，以向 AppScan Enterprise 表明如何使用 API。此手动输入可使用“手动探索”部分完成。在此部分中，您可以使用外部客户机（例如 Postman、SOAP UI 或任何其他外部客户机）记录流量，或者导入先前记录的流量文件。

关于此任务

使用 ADAC 创建 API 扫描的基本步骤已经介绍过。

过程

在 AppScan Enterprise 中，从扫描视图导航到要创建扫描的文件夹，然后单击创建。
在创建文件夹项页面中，选择使用模板的作业并选择扫描模板。
扫描模板是预定义的扫描配置。您可以装入常规扫描模板、预定义模板或先前已保存的模板。您可以稍后根据当前扫描的需要调整配置。有关更多信息，请参阅使用 AppScan Standard 扫描属性根据模板创建扫描。

使用模板创建扫描作业时，它将启动 ADAC。
在 ADAC 中，完成以下步骤以配置扫描作业：
1. 定义起始 URL
2. 记录登录序列
  如果先前已记录登录序列，请通过“导入”选项使用记录的文件而不要进行记录。
3. 使用外部客户机记录流量
  您还可以导入先前记录的 API 流量文件。有关更多信息，请参阅捕获并导入流量数据。
4. 配置平台认证
5. 配置作业属性
6. 完成后，单击创建作业，然后退出 ADAC
  扫描作业在 AppScan Enterprise 扫描视图中您的扫描下创建。
从扫描视图中选择扫描，然后单击运行。
AppScan 将启动包含以下两个阶段的扫描：探索阶段：AppScan 根据您上载的流量爬取 Web API 并创建测试；测试阶段：AppScan 根据探索阶段收到的响应测试 Web API，从而揭示漏洞并评估其严重性。

下一步做什么

扫描结果准备就绪时，您可以在“结果”选项卡上查看报告。报告显示关于您的 Web API 的信息，并提供浏览更多详细信息的功能。您可以复审结果，以评估 Web API 的安全状态。您可能还需要执行以下操作：

探索其他链接
复审修复任务
打印报告
复审扫描结果，修改扫描配置，然后再次扫描