使用 REST API 配置 DAST 掃描與 Postman collection URL

概觀

此部分說明如何在AppScan Enterprise中使用REST API,通過提供Postman集合的URL來配置動態應用安全測試(DAST)掃描。此功能允許使用您現有的 Postman 集合來自動化掃描配置,這在設置 AppScan 動態分析客戶端 (ADAC) 任務或其他動態掃描時特別有用。這種以API為驅動的方法提供了一種直接在AppScan Enterprise中進行配置的方法,取代了以前經常通過AppScan Standard手動管理的步驟。

註:
  • 此 API 專門用於 DASTConfig 工作,不能用於 Content-Scan 工作。
  • 如果一個 DASTConfig 工作已經配置了 Postman 集合 URL,使用此 API 將會替換現有的 URL。

用於 Postman URL 配置的 API 端點

  • POST /jobs/{jobId}/dastconfig/postman/url/add – 將 Postman 集合 URL 添加到 DASTConfig 工作。

必備項目

  • 您將需要一個現有的 DASTConfig 工作。您可以使用以下任何現有的 API 來創建 DASTConfig 作業:
    • POST/工作/{templateId}/dastconfig/創建工作
    • 根據模板文件創建工作
    • POST/工作
  • DASTConfig 工作的 jobId(整數)是必須的。這可以通過使用 GET /folders/{folderId}/jobs API 端點來檢索。
  • 進行 API 請求驗證需要有效的 asc_xsrf_token,可以從 POST /login API 端點獲取。此令牌應作為請求標頭發送,通常命名為asc_xsrf_token或類似名稱,並附上相應的值。
  • 我們建議使用「常規掃描」模板以避免任何效能問題。
    註:
    如果網路 API 需要授權,授權請求必須包含有效的憑證(API 金鑰、基本身份驗證或其他固定的令牌和密碼)。授權要求必須是集合中前幾個要求之一。默認情況下,AppScan Enterprise 會檢查授權請求的前七個請求,但如果需要,可以在 ADAC 客戶端的高級配置 > Postman: Login analysis sample size 中增加此數量。

API 參考:POST /jobs/{jobId}/dastconfig/postman/url/add

目的:此 API 端點允許您在 AppScan Enterprise 中配置現有的 DASTConfig 任務,以使用透過 URL 提供的 Postman 集合來定義掃描範圍和 API 互動。

HTTP 方法和端點: POST /jobs/{jobId}/dastconfig/postman/url/add

路徑參數:

  • jobId(整數,必需):DASTConfig工作的唯一識別碼。

請求參數:

  • postmanCollectionUrl(字串,必填):Postman 集合的 URL(例如,http://example.com/collection.json)。
  • envVariablesUrl(字串,可選):Postman 環境 JSON 檔案的 URL。
  • globalVariablesUrl(字串,可選):Postman 全域變數 JSON 檔案的 URL。
  • postmanAdditionalFiles(文件,可選):一個壓縮檔案,包含 Postman 集合所需的任何外部文件(例如,data.zip)。最大大小:80 MB。
  • domainsToBeTested(String,必需):根據集合將被掃描的域名的逗號分隔列表(例如,api.example.com, auth.example.com)。

請求標頭(範例):

  • asc_xsrf_token: {your_obtained_token_value}
  • Content-Type: multipart/form-data(如果包含postmanAdditionalFiles)或application/json(如果僅發送URL,儘管form-data通常由反饋建議用於此API)。
註:
  • 使用 form-data 選項來配置 API,特別是在包含 postmanAdditionalFiles 時。上述參數名稱是表單欄位的鍵(名稱),而URL、檔案上傳和域名列表則是它們各自的值。
  • 確保在 Postman 集合中,目標 API 所需的任何身份驗證都得到適當處理(如在先決條件或集合/環境變數中所述)。
  • Postman 集合版本 2.0 及更高版本均受支持。
  • Postman 集合的 URL 擴展名應該是 .json
  • 未包含在domainsToBeTested中的域將不會被掃描。
  • 當您將 Postman 集合 URL 添加到 DAST 任務時,這些 URL 會被保存在模板文件中。然而,模板中不包含額外文件。要存取這些資料,請下載 SCAN 檔案。
  • 每次掃描只能添加一個 Postman Collection URL。要掃描第二個集合的URL,請為該集合創建一個新的掃描。

回應:

  • 在成功時,API 會返回 HTTP 狀態碼 200 OK
  • 要查看錯誤詳情,請參閱 API 的 Swagger 文檔。