Web API 自動掃描工作流程
提供自動掃描 Web API 的簡易工作流程。
AppScan 提供 Web API 的綜合性評量。它會執行數千項基於一般使用者技術所有層次的測試,以及未獲授權的存取及程式碼注入。
當在您的應用程式上執行掃描時,AppScan 會將測試傳送給您的 Web API。測試的結果是由 AppScan 的網站智慧引擎提供,您會得到廣泛的報告和修正建議,可供加強檢閱和操作。
AppScan 是一個互動式工具:您決定掃描的配置,判斷對結果採取的動作。
工作流程說明
- 掃描配置:透過配置 > API 必要項目配置掃描,將您的網站、環境及其他需求的詳細資料列入考量:
- 上傳 Postman 集合路徑:
- 上傳 Postman 集合:匯入 Postman 集合。
- 檢閱測試原則:必要的話,請修改測試原則。
- 上傳 OpenAPI 規格檔路徑:
- 上傳 OpenAPI 規格檔:上傳 API 的 OpenAPI 規格檔。
- 配置 API 金鑰:設定用於鑑別的 API 金鑰。
- (選用)檢閱測試原則:調整測試原則設定。
- 上傳 Postman 集合路徑:
-
開始完整掃描:啟動完整掃描。
- 自動掃描包含「探索」和「測試」兩個階段。
- 探索階段:AppScan 會瀏覽所有要求和參數並記錄下來,藉此搜索您的 Web API。會在您的 Web API 上建立這些要求和參數的階層。這份清單顯示在「應用程式樹狀結構」中(請參閱應用程式樹狀結構)。註: 「探索」階段可以自動進行、手動進行,或以兩者的組合方式進行。您也可以匯入先前記錄的手動探索序列所組成的「探索資料檔」(請參閱匯出手動探索資料)。然後,AppScan 會分析從網站收集的資料,據以建立 API 的測試。這些測試設計來顯示基礎架構(如商用第三方產品或網際網路系統的安全弱點)與應用程式本身兩者的弱點。
-
測試階段:在「測試」階段期間,AppScan 會根據「探索」階段所收到的回應來測試您的應用程式,以顯示漏洞並評估其嚴重性。
您可以在「掃描配置」對話框中查看您的 AppScan 現行版本中包含之所有測試的最新清單(請參閱測試原則和最佳化)。
除了 AppScan 自動建立和執行的測試之外,您也可以建立使用者定義測試(請參閱使用者定義測試)。您的測試可以補充 AppScan 所產生的測試,且可以驗證其所找到的結果。
測試結果顯示在「結果清單」中,供您檢視和修改它們。結果的完整資料顯示在「明細窗格」中。
- 探索階段:AppScan 會瀏覽所有要求和參數並記錄下來,藉此搜索您的 Web API。會在您的 Web API 上建立這些要求和參數的階層。這份清單顯示在「應用程式樹狀結構」中(請參閱應用程式樹狀結構)。
-
掃描後活動:
-
檢閱結果:根據檢閱的結果,依需要來分析掃描結果並調整掃描配置,然後重新掃描。
- 檢閱修正建議:評估並套用建議的修正,以解決識別出的漏洞。
- 手動探索要求:手動檢查任何需要進一步調查的要求。
- 產生報告:根據掃描結果建立詳細報告。
-