Web API 自动扫描工作流程
提供一个简单的工作流程来自动扫描 Web API。
AppScan 提供 Web API 的全面评估。它基于所有级别的典型用户技术(包括未经授权的访问和代码注入)运行数千个测试。
当对应用程序运行扫描时,测试会通过 AppScan 发送到 Web API。测试结果由 AppScan 的站点智能引擎提供,并会产生各种可用于增强复审和操纵的报告与修订建议。
AppScan 是一种交互式工具:您决定扫描的配置并确定要对结果进行的处理。
工作流程描述
- 扫描配置:通过配置 > API 基本配置:配置扫描,同时将站点、环境以及其他需求的详细信息考虑在内
- 上载 Postman 集合路径:
- 上载 Postman 集合:导入 Postman 集合。
- 复审测试策略:必要时修改测试策略。
- 上载 OpenAPI 规范文件路径:
- 上载 OpenAPI 规范文件:上载 API 的 OpenAPI 规范文件。
- 配置 API 密钥:设置 API 密钥以进行认证。
- (可选)复审测试策略:调整测试策略设置。
- 上载 Postman 集合路径:
-
启动全面扫描:启动全面扫描。
- 自动扫描包括探索阶段和测试阶段。
- 探索阶段:AppScan 通过浏览所有请求和参数来爬取 Web API 并进行记录。它将创建在您 Web API 上找到的这些请求和参数的层次结构。此列表会显示在应用程序树中(请参阅应用程序树)。注: 探索阶段可自动完成、手动完成或以两种方式的组合方式完成。此外,您还可以导入探索数据文件(请参阅导出“手动探索”数据),此文件由以前记录的手动探索序列组成。AppScan 随后分析其从站点收集的数据,并且根据这些数据为 API 创建测试。这些测试旨在揭露基础结构(例如第三方商品或因特网系统中的安全漏洞)的弱点和应用程序自身的弱点。
-
测试阶段:在测试阶段中,AppScan 会根据其在探索阶段中接收到的响应来测试您的应用程序,以揭露漏洞并评估其严重性。
可以在“扫描配置”对话框中查看当前版本的 AppScan 中包含的所有测试的最新列表(请参阅测试策略和优化)。
除 AppScan 自动创建和运行的测试外,您还可以创建用户定义的测试(请参阅用户定义的测试)。您的测试可对 AppScan 生成的测试进行补充,并且可以验证其发现的结果。
测试结果会显示在结果列表中,您可以从中对其进行查看和修改。结果的完整详细信息会显示在“详细信息”窗格中。
- 探索阶段:AppScan 通过浏览所有请求和参数来爬取 Web API 并进行记录。它将创建在您 Web API 上找到的这些请求和参数的层次结构。此列表会显示在应用程序树中(请参阅应用程序树)。
-
扫描后活动:
-
复审结果:分析扫描结果,并根据您对结果的复审,在必要的情况下调整扫描配置,然后再次扫描。
- 复审修复建议:评估并应用建议的修复来解决已识别的漏洞。
- 手动探索请求:手动检查任何需要进一步调查的请求。
- 生成报告:根据扫描结果创建详细报告。
-