使用 Postman 集合來掃描
如果您對 Web API 有要求的「Postman 集合」,可以匯入並作為掃描基礎。
在匯入之後,AppScan 會使用集合來執行自己的「探索」階段,並在「儀表板」和「資料」視圖中顯示結果資料。您可以選擇 AppScan 是要自動繼續執行「測試」階段,還是要完成掃描,或是要稍後啟動「測試」階段。
AppScan 安裝包含用於掃描 AppScan 示範測試網站的範例 Postman 集合,請參閱 範例檔。
必要條件:
- 如果 Web API 需要授權,則授權要求必須包括有效的認證(API 金鑰、基本鑑別、OAuth 2 重新整理記號,或其他固定記號和密碼)。授權要求必須是集合中前幾個要求之一。依預設,AppScan 會檢查授權要求的前七個要求,但必要的話,可以在「配置 > 進階配置 > Postman」中增加此數目。限制: 不支援需要使用者存在的鑑別方法,例如「含提示使用者的 OAuth2」。不過,您可以搭配使用 OAuth2 與離線 授與類型,而此授與類型使用重新整理記號(也稱為服務記號)。
若要匯入 Postman 集合,請執行下列動作:
- 如果 AppScan 需要自訂 Proxy 設定才能存取 Web API,請先在配置對話框 > 通訊與 Proxy > Proxy > 自訂 Proxy 中配置。如需詳細資料,請參閱通訊與 Proxy。
- 請移至,並選取 API 類型作為 Postman 集合。
- 按一下選取 Postman 集合以新增您的 Postman 集合。註: 支援 Postman 集合 2.0 版和更新版本。
- 在 Postman 集合檔案區域中,輸入下列內容:
- Postman 集合檔案:JSON 檔案的完整 URL 或路徑。重要: 副檔名必須是 .json
- 連結的檔案(選用):如果集合包含其他檔案的連結,您必須將其全部併入單一 ZIP 檔案中,然後在此處選取。以下為適用的條件:
- 檔案路徑必須是集合的相對路徑,而不是絕對路徑
- 檔案必須位於「Postman 集合」資料夾內(可以是子資料夾),而不是在資料夾之外
- 路徑必須與 Postman 集合使用的路徑相同。
- Postman 集合檔案參數設定方式範例:
{ "key": "Param1", "type": "file", "src": "./filename1.txt" },
- Postman 環境檔案(選用):如果您的集合使用環境變數,您必須提供 Postman 環境 JSON 檔案的完整 URL 或路徑。
- Postman 全域檔案(選用):如果您的集合使用全域變數,您必須提供 Postman 全域 JSON 檔案的完整 URL 或路徑。
- Postman 集合檔案:JSON 檔案的完整 URL 或路徑。
- 在網域區域中 ,新增您要併入掃描的所有網域。您可以個別新增這些網域,或是使用 CSV 檔案同時新增多個網域。這兩種格式都有效:
https://demo.testfire.net/ demo.testfire.net重要: 未列出的網域不會經過掃描。 - 按一下「匯入」。系統便會匯入 Postman 集合。
- 如果您正在掃描 GraphQL Web API,則請選取套用 GraphQL 自訂參數,讓 AppScan 能夠包含來自 GraphQL 預先定義範本的參數。
- 如果您正在掃描 OpenAPI,請選取套用 OpenAPI 自訂參數,然後按一下新增 OpenAPI 規格檔。按一下瀏覽以新增有效規格檔,以包含能夠獲得更佳掃描涵蓋範圍的參數,然後按一下繼續。
- 執行掃描以偵測您 Web API 中的任何漏洞。註: Postman 集合新增至配置後,就無法匯出為 SCANT(範本)檔案,因為集合無法併入範本中。您必須移除集合,或將其儲存為 SCAN 檔案。
- 如果您的集合包括登入認證,請移至配置 > 登入管理,然後尋找綠色「已成功配置登入」訊息,以確認偵測到登入詳細資料。
如果未偵測到登入,請參閱Postman 集合掃描疑難排解。
搭配使用多個集合
目前每次掃描只能匯入一個 Postman 集合。
如果要使用與第一個集合相同的配置來掃描第二個集合,請執行下列動作:
- 利用您的第一個集合配置並儲存掃描後,請移至檔案 > 目前配置的新掃描,並匯入第二個集合。