Examen à l'aide d'un fichier de spécifications OpenAPI

Vous pouvez utiliser un fichier de spécifications OpenAPI pour examiner automatiquement votre OpenAPI, ce qui offre une meilleure couverture en vous permettant de mettre à jour les paramètres et d'inclure tous les nœuds finaux. Cela garantit un examen plus précis et plus approfondi.

Avant de commencer

Remarque : Si la valeur du paramètre est un fichier chargé, utilisez Examen à l'aide d'une collection Postman.

Procédure

  1. Accédez à Configuration > API.
  2. Sélectionnez Fichier de spécifications OpenAPI et cliquez sur Ajouter un fichier de spécifications.
    Remarque : AppScan Standard ne prend pas en charge la spécification OpenAPI version « 3.1.0 ».
  3. Saisissez l'URL ou cliquez sur Parcourir pour choisir le fichier sur votre disque local, puis cliquez sur Continuer. AppScan accepte uniquement les formats JSON ou YAML pour le fichier de spécifications.
    AppScan analyse le fichier de spécification et affiche les paramètres API détectés dans le tableau Modifier les paramètres supplémentaires.
  4. Configurez l'adresse URL de base si elle n'est pas renseignée automatiquement.
  5. AppScan détecte automatiquement les valeurs des paramètres pendant l'exploration, mais vous pouvez mettre à jour manuellement les paramètres pour de meilleures performances dans les cas où la valeur ne peut pas être détectée automatiquement pendant l'exploration. Modifiez les valeurs des paramètres en les faisant correspondre aux adresses URL pertinentes.
    Remarque : Si le nom et la valeur du paramètre s'appliquent à tous les nœuds finaux, cochez la case Appliquer cette valeur à tous les paramètres dans la boîte de dialogue Modifier le paramètre.
    Il est recommandé de mettre à jour les paramètres pour une meilleure couverture de l'examen, ce qui garantit que tous les nœuds finaux sont couverts et évite les échecs de requête.
  6. Configurez l'authentification API si nécessaire. En fonction de votre fichier de spécifications, les liens Configurer la clé API ou Configurer l'authentification de base (HTTP) ou les deux s'affichent pour configurer l'authentification. Si les liens ne s'affichent pas, vous pouvez configurer manuellement l'authentification via la clé API, l'authentification HTTP ou la gestion des connexions (enregistrer la connexion ou utiliser la connexion automatique).
  7. Pour éviter de dépasser les limites de débit lors de l'exploration, réglez le paramètre Taux de demande max. dans l'onglet Communication et proxy.
  8. Une fois la configuration terminée, vous pouvez lancer un examen.
    AppScan lance un examen automatique.
    Remarque : Si vous ajoutez un fichier local plutôt qu'une URL à une configuration, vous ne pouvez pas l'exporter en tant que fichier SCANT (modèle), car le fichier de spécifications ne peut pas être inclus dans un modèle. Vous devez supprimer le fichier de spécifications ou l'enregistrer en tant que fichier SCAN.

Que faire ensuite

Une fois l'exploration terminée, vous pouvez afficher les paramètres trouvés pendant l'examen sur la page Remplissage automatique du formulaire, ainsi que les requêtes envoyées et les paramètres trouvés sur la page Données.