Web 應用程式和 API 的探索方法

這個主題說明在 AppScan 測試網站之前,可用來探索網站的不同方法。

掃描網站時會先探索,然後根據所收集的資料加以測試。可以使用一或多種不同的「探索」方法來收集「探索資料」。無論如何,收集「探索」資料之後,就會在「測試」階段期間使用 AppScan 來建立及傳送測試給網站。
探索 Web 應用程式(具有使用者介面的網站)
  • 對於許多應用程式而言,提供起始 URL 及鑑別認證給 AppScan,即可測試網站。
  • 手動探索:必要的話,您可以透過 AppScan 手動探索網站,以便能夠存取只有透過特定的使用者輸入才能到達的區域。
  • 多步驟作業:對於只能透過先以特定順序存取其他頁面才能到達的頁面,您可以記錄多步驟作業供 AppScan 使用。
「配置精靈」可讓您以少數幾個步驟配置及啟動您的掃描,而針對複雜的網站,「配置」對話框可讓您細部調整及自訂更多的設定。
探索 Web API
AppScan 提供探索 Web API 的三種主要方法:

  1. 匯入 Postman 集合

    若您已預先記錄 API 要求的 Postman 集合作為 DevOps 程序的一部分,則可將其匯入以作為掃描的「探索」階段使用。AppScan 會分析並使用集合以測試網站。請參閱 使用 Postman 集合來掃描

  2. 使用 OpenAPI 規格檔
    • 如果您的 Web 服務具有 OpenAPI 規格檔(採用 JSON 或 YAML 格式),您可以使用此檔案作為掃描基礎。AppScan 會根據說明啟動自動掃描。請參閱使用 OpenAPI 規格檔進行掃描
  3. 記錄 Proxy 設定
    1. 裝置設定:配置 AppScan 作為用來探索服務之裝置(如:行動電話或模擬器)的記錄 Proxy。然後 AppScan 會分析收集的「探索」資料,並傳送適當的測試。
    2. 外部工具記錄:您也可以使用 AppScan 來記錄使用外部工具的資料流量,例如 Web API 功能測試程式。請參閱使用外部用戶端
除了上述方法以外,您也可以選擇手動探索匯入探索資料。在所有情境中,您將「探索」資料提供給 AppScan 之後,就可以繼續自動測試網站,並呈現掃描結果以供檢閱和分類。