Web API 扫描
HCL AppScan Enterprise 是一款可扩展的企业解决方案,组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术,可帮助保护应用程序免受网络攻击的威胁。
HCL AppScan Enterprise 动态分析引擎,通过使用类似于黑客所用的方法攻击应用程序,在运行时评估应用程序安全性。测试结果包括从应用程序清单到详细攻击流量的一系列丰富数据,系统可以重现这些数据以进行验证和修复。可以在 UI 中检查和处理这些数据,也可以采用各种格式导出这些数据,以便在其他工具中共享。
要扫描 Web API,AppScan Enterprise 必须获取生成的 API 流量,然后使用此数据自动执行测试。
可以通过多种方式为 AppScan Enterprise 提供数据来进行 API 扫描:
- 使用 AppScan Dynamic Analysis Client (ADAC) 记录流量
- 使用 Postman 或 SoapUI 集成
- 使用任何其他外部客户机
- 使用 AppScan 流量记录器记录流量
- 使用 Postman 集合扫描
可以使用下列其中一个选项将记录的流量上载到 AppScan Enterprise 扫描:
- 使用 ADAC 上载流量
- 使用 REST API 创建扫描并上载流量
- 使用 AppScan Standard 创建 API 扫描,然后在 AppScan Enterprise 中上载文件以进行扫描。请参阅使用外部客户机进行记录和从 AppScan Standard 导入手动探索数据。
有关用于捕获和导入流量数据的不同方法的更多信息,请参阅捕获并导入流量数据。
创建 API 扫描时,如果您的站点使用认证,建议提供登录序列记录。
可以使用以下与记录流量相似的方法完成登录序列的记录: