使用 Postman 集合來掃描
如果您對 Web API 有要求的 Postman 集合,可以匯入並用作掃描基礎。
在匯入之後,AppScan 會使用集合來執行自己的「探索」階段,並在「儀表板」和「資料」視圖中顯示結果資料。您可以選擇 AppScan 是要自動繼續執行「測試」階段,還是要完成掃描,或是要稍後啟動「測試」階段。
AppScan 安裝中包含用於掃描 AppScan 示範測試網站的範例「Postman 集合」,請參閱 範例檔。
必要條件:
- 如果 Web API 需要授權,則授權要求必須包括有效的認證(API 金鑰、基本鑑別、OAuth 2 重新整理記號,或其他固定記號和密碼)。授權要求必須是集合中前幾個要求之一。依預設,AppScan 會檢查授權要求的前七個要求,但必要的話,可以在「配置 > 進階配置 > Postman」中增加此數目。Limitation: 不支援需要使用者存在的鑑別方法,例如「含提示使用者的 OAuth2」。不過,您可以搭配使用 OAuth2 與離線 授與類型,而此授與類型使用重新整理記號(也稱為服務記號)。
若要匯入 Postman 集合,請執行下列動作:
- 如果 AppScan 需要自訂 Proxy 設定才能存取 Web API,請先在配置對話框 > 通訊與 Proxy > Proxy > 自訂 Proxy 中配置。如需詳細資料,請參閱通訊和 Proxy。
-
請執行下列其中一項動作:
- 從功能表列中,按一下檔案 > 匯入> Postman 集合。
- 從主畫面的開啟檔案區域中,按一下匯入 Postman 集合。
- 在 Postman 集合檔案區域中,輸入下列內容:
- Postman 集合檔案:JSON 檔案的完整 URL 或路徑。重要: 副檔名必須是 .json
- 連結的檔案(選用):如果集合包含其他檔案的連結,您必須將其全部併入單一 ZIP 檔案中,然後在此處選取。以下為適用的條件:
- 檔案路徑必須是集合的相對路徑,而不是絕對路徑
- 檔案必須位於「Postman 集合」資料夾內(可以是子資料夾),而不是在資料夾之外
- 路徑必須與 Postman 中使用的路徑相同
- Postman 環境檔案(選用):如果您的集合使用環境變數,您必須提供 Postman 環境 JSON 檔案的完整 URL 或路徑。
- Postman 全域檔案(選用):如果您的集合使用全域變數,您必須提供 Postman 全域 JSON 檔案的完整 URL 或路徑。
- Postman 集合檔案:JSON 檔案的完整 URL 或路徑。
- 在網域區域中 ,新增您要併入掃描的所有網域。在個別文字欄位中輸入每個網域。這兩種格式都有效:
https://demo.testfire.net/ demo.testfire.net
重要: 未列出的網域不會經過掃描。 - 在掃描選項區域中,選取兩個選項之一,以瞭解 AppScan 在匯入檔案時應如何繼續執行:
- 僅限匯入和探索: AppScan 會上傳檔案、執行自己的「探索」階段,然後停止。收集的「探索」資料會顯示在「儀表板」和「資料」視圖中。當想要完成掃描時,您必須從工具列中按一下繼續完整掃描,這會執行掃描的「測試」階段。
- 匯入並執行完整掃描:AppScan 會上傳檔案、執行內部「探索」階段,然後自動繼續執行「測試」階段。
- 按一下匯入。
- 如果您的集合包括登入認證,請移至配置 > 登入管理,然後尋找綠色「已成功配置登入」圖示,以確認偵測到登入詳細資料。如果未偵測到登入,請參閱 Postman 集合掃描疑難排解。
搭配使用多個集合
目前每次掃描只能匯入一個 Postman 集合。
如果要使用與第一個集合相同的配置來掃描第二個集合,請執行下列動作:
- 配置及儲存第一個集合的掃描之後,請前往:檔案 > 從現行配置新建掃描,然後匯入第二個集合。