如何使用 ADAC 创建 API 扫描
您可以使用 AppScan Enterprise 中的 ADAC 扫描 Web API,您可以在其中创建和运行 DAST 扫描。扫描 Web API 需要用户手动输入,以向 AppScan Enterprise 表明如何使用 API。此手动输入可使用“手动探索”部分完成。在此部分中,您可以使用外部客户机(例如 Postman、SOAP UI 或任何其他外部客户机)记录流量,或者导入先前记录的流量文件。
关于此任务
使用 ADAC 创建 API 扫描的基本步骤已经介绍过。
过程
- 在 AppScan Enterprise 中,从扫描视图导航到要创建扫描的文件夹,然后单击创建。
-
在创建文件夹项页面中,选择使用模板的作业并选择扫描模板。
扫描模板是预定义的扫描配置。您可以装入常规扫描模板、预定义模板或先前已保存的模板。您可以稍后根据当前扫描的需要调整配置。有关更多信息,请参阅使用 AppScan Standard 扫描属性根据模板创建扫描。使用模板创建扫描作业时,它将启动 ADAC。
-
在 ADAC 中,完成以下步骤以配置扫描作业:
-
从扫描视图中选择扫描,然后单击运行。
AppScan 将启动包含以下两个阶段的扫描:探索阶段:AppScan 根据您上载的流量爬取 Web API 并创建测试;测试阶段:AppScan 根据探索阶段收到的响应测试 Web API,从而揭示漏洞并评估其严重性。
下一步做什么
扫描结果准备就绪时,您可以在“结果”选项卡上查看报告。报告显示关于您的 Web API 的信息,并提供浏览更多详细信息的功能。您可以复审结果,以评估 Web API 的安全状态。您可能还需要执行以下操作:
- 探索其他链接
- 复审修复任务
- 打印报告
- 复审扫描结果,修改扫描配置,然后再次扫描