Web アプリケーションと API の探査方法

このトピックでは、AppScan によるテストの前にサイトを探査するために使用可能なさまざまな方法について説明しています。

サイトのスキャンは、最初に探査が行われ、次に収集されたデータに基づくテストが行われて実施されます。「探査データ」は、1 つ以上の探査方法を使用して収集することができます。どのケースでも、探査データが収集されると、AppScan を使用してテストが作成され、テスト・ステージ中にサイトに送信されます。
Web アプリケーションの探査 (ユーザー・インターフェースのあるサイト)
  • 多くのアプリケーションでは、AppScan がサイトをテストできるようにするために、開始 URL と認証の資格情報を提供するだけで十分です。
  • マニュアル探査: 必要な場合は、特定のユーザー入力によってのみ到達可能な領域にアクセスできるようにするために、AppScan を介してサイトを手動で探査することができます。
  • マルチステップ操作: 特定の順序でページにアクセスすることでのみ到達可能なページの場合、AppScan のマルチステップ操作を記録して使用することができます。
構成ウィザードではいくつかの手順でスキャンを構成して開始できますが、複雑なサイトの場合は、「構成」ダイアログ・ボックスでさらに多くの設定を微調整およびカスタマイズできます。
Web API の探査
AppScan には、Web API を探査するための主要な方法が 3 つあります。

  1. Postman コレクションのインポート

    DevOps プロセスの一環として、事前に記録済みの API 要求の Postman コレクションがある場合は、それをインポートしてスキャンの探査ステージとして使用できます。AppScan はコレクションを分析して使用し、サイトをテストします。参照 Postman コレクションを使用したスキャン

  2. OpenAPI 仕様ファイルの使用
    • Web サービスの OpenAPI 仕様ファイル (JSON または YAML 形式) がある場合は、スキャンの基礎として使用できます。AppScan は、説明に基づいて自動スキャンを開始します。「OpenAPI 仕様ファイルを使用したスキャン」を参照してください。
  3. 記録プロキシーのセットアップ
    1. デバイス・セットアップ: サービスの探査に使用するデバイス (携帯電話やシミュレーターなど) の記録プロキシーとして AppScan を構成します。次に AppScan は収集した探査データを分析し、適切なテストを送信します。
    2. 外部ツールの記録: AppScan を使用して、Web API 機能テスターなどの外部ツールでトラフィックを記録することもできます。「外部クライアントの使用」を参照してください。
上記の方法に加えて、マニュアル探査または探査データのインポートも選択できます。いずれの場合も、AppScan に探査データを指定すると、自動的にサイトをテストし、スキャン結果を提示してレビューおよびトリアージできます。