Web API 自動スキャン・ワークフロー
Web API の自動スキャンの簡単なワークフローを提供します。
AppScan では、ご使用の Web API に関する総合的な評価が提供されます。また、無許可アクセスやコード・インジェクションだけでなく、標準的なユーザー手法のすべてのレベルに基づく、何千というテストも実行されます。
ご使用のアプリケーションに対してスキャンを実行すると、AppScan によって各種テストがご使用の Web API に送信されます。テストの結果は、AppScan のサイトを認識するスマート・エンジンによって作成され、強化されたレビューと操作で使用できる拡張性のあるレポートおよび推奨される修正も提供されます。
AppScan は対話式ツールです。このツールを使用して、スキャンの構成および結果に対する対応を決定します。
ワークフローの説明
- スキャン構成: サイトの詳細、ご使用の環境、および他の要件を考慮に入れて、「構成」>「API 必需」からスキャンを構成します。
- Postman コレクション・パスのアップロード:
- Postman コレクションのアップロード: Postman コレクションをインポートします。
- テスト・ポリシーの確認: 必要に応じてテスト・ポリシーを変更します。
- OpenAPI 仕様ファイル・パスのアップロード:
- OpenAPI 仕様ファイルのアップロード: API の OpenAPI 仕様ファイルをアップロードします。
- API キーの構成: 認証用の API キーをセットアップします。
- (オプション) テスト・ポリシーの確認: テスト・ポリシー設定を調整します。
- Postman コレクション・パスのアップロード:
-
フル・スキャンの開始: フル・スキャンを開始します。
- 自動スキャンは、探査ステージとテスト・ステージで構成されています。
- 探査ステージ: AppScan は、すべてのリクエストとパラメーターを実行して Web API をクロールし、それらを記録します。Web API 上で検出される、これらの要求とパラメーターの階層を作成します。このリストは、アプリケーション・ツリー (アプリケーション・ツリーを参照) に、表示されます。注: 探査ステージは、自動または手動、あるいはこの両方を組み合わせて実行できます。また、前に記録されたマニュアル探査シーケンスから構成される探査データ・ファイル (マニュアル探査データをエクスポートするを参照) をインポートすることもできます。次に、AppScan は、サイトから収集したデータを分析し、それに基づいて API のテストを作成します。これらのテストは、インフラストラクチャーの弱点 (市販のサード・パーティー製品またはインターネット・システムでのセキュリティー上の弱点など) とアプリケーション自体の弱点の両方を明らかにするために設計されています。
-
テスト・ステージ: テスト・ステージ中に、AppScan は、脆弱性を明らかにし、その重大度を評価するために、探査ステージ中に受信した応答に基づいてアプリケーションをテストします。
ご使用の AppScan の現行バージョンに組み込まれたすべてのテストの最新のリストは、「スキャン構成」ダイアログ・ボックスで確認することができます (「テスト・ポリシーと最適化」を参照)。
AppScan で自動的に作成および実行されるテストのほかに、ユーザー定義テストを作成することもできます (「ユーザー定義テスト」を参照)。作成したテストにより、AppScan によって生成されたテストを補完することができ、検出された結果を検査することもできます。
テスト結果は「結果リスト」に表示され、そこでテスト結果を表示および変更できます。結果の完全な詳細は、 「詳細ペイン」内に表示されます。
- 探査ステージ: AppScan は、すべてのリクエストとパラメーターを実行して Web API をクロールし、それらを記録します。Web API 上で検出される、これらの要求とパラメーターの階層を作成します。このリストは、アプリケーション・ツリー (アプリケーション・ツリーを参照) に、表示されます。
-
スキャン後のアクティビティー:
-
結果のレビュー: スキャン検出結果を分析し、結果の検討に基づいて、必要に応じてスキャン構成を調整し、スキャンを再実行します。
- 推奨される修正の確認: 推奨される修正を評価および適用し、特定された脆弱性に対処します。
- 要求をマニュアルで探査: さらなる調査が必要な要求があれば、マニュアルで確認します。
- レポートの生成: スキャン結果に基づいて詳細なレポートを作成します。
-