Web API 掃描

HCL AppScan Enterprise 是一個可擴充的企業解決方案,可讓組織管理其 Web 應用程式和 Web API 的應用程式安全程式。它具備尖端的方法和技術,可以識別安全漏洞,避免應用程式遭受網路攻擊的威脅。

HCL AppScan Enterprise Dynamic Analysis 引擎,使用與駭客使用的方法類似的技術,評估攻擊應用程式時之執行時期的應用程式安全。測試結果包括範圍從應用程式庫存到詳細攻擊資料流量的一組豐富資料,可以重新產生以進行驗證和修正。此資料可以在 UI 中檢查及處理,或者匯出為各種格式以便在其他工具中共用。

若要掃描 Web API,AppScan Enterprise 必須取得產生的 API 流量,並且使用此資料以自動化方式執行測試。

有幾種方式可以將 API 掃描資料提供給 AppScan Enterprise:

  • 使用 AppScan Dynamic Analysis Client (ADAC) 記錄流量
    • 使用 Postman 或 SoapUI 整合
    • 使用任何其他外部用戶端
  • 使用「AppScan 資料流量記錄器」記錄資料流量
  • 使用 Postman 集合來掃描
您可以使用下列其中一個選項,將記錄的流量上傳至 AppScan Enterprise 掃描:

如要進一步了解如何使用不同方法來擷取及匯入流量,請參閱 擷取及匯入資料流量資料

建立 API 掃描時,如果您已具備網站鑑別,建議您提供登入序列記錄。

登入序列記錄可以利用與記錄流量類似的以下方法來完成: