Flux de travaux d'examen automatique de l'API Web

Fournit un flux de travaux simple pour l'examen automatique d'une API Web.

AppScan offre une évaluation détaillée de vos API Web. Il exécute des milliers de tests basés sur tous les niveaux de techniques utilisateur classiques ainsi que sur les accès non autorisés et les injections de code.

Lorsque vous exécutez un examen sur votre application, AppScan envoie les tests à votre API Web. Les résultats des tests sont fournis par le moteur intelligent de site d'AppScan. Ils sont présentés dans des rapports volumineux et proposent des recommandations de correctifs, disponibles pour la révision et la manipulation améliorées.

AppScan est un outil interactif : vous décidez de la configuration de l'examen et déterminez les mesures à prendre d'après les résultats.

Flux de travaux pour le balayage automatique de l'API Web

Description du flux de travaux

  1. Configuration d'examen : Configurez l'examen en tenant compte des caractéristiques de votre site, de votre environnement et des autres exigences par le biais de Configuration > Eléments essentiels de l'API :
    1. Télécharger le chemin d'accès à la collection Postman :
      1. Télécharger la collection Postman : Importez la collection Postman.
      2. Vérifier la stratégie de test : Modifiez les stratégies de test si nécessaire.
    2. Chemin d'accès pour télécharger le fichier de description OpenAPI :
      1. Télécharger le fichier de description OpenAPI : Téléchargez le fichier de description OpenAPI de l'API.
      2. Configurer la clé API : Configurez la clé API pour l'authentification.
      3. (Facultatif) Vérifier la stratégie de test : Réglez les paramètres de la stratégie de test.
  2. Démarrer un examen intégral : Lancez un examen intégral.

  3. L'examen automatique comprend les étapes d’exploration et de test.
    1. Etape d'exploration : AppScan explore votre API Web en passant en revue toutes les requêtes et tous les paramètres et les enregistre. Il crée une hiérarchie de ces requêtes et paramètres, qu'il trouve sur votre API Web. Cette liste s'affiche dans l'Arborescence de l'application (voir Arborescence de l'application).
      Remarque : L'étape d'exploration peut être automatique, manuelle ou combiner les deux modes. Vous pouvez également importer un fichier des données d'exploration (voir Exporter des données d'exploration manuelle), qui consiste en une séquence d'exploration manuelle précédemment enregistrée. AppScan analyse ensuite les données qu'il a collectées sur le site et, en fonction de ces dernières, crée des tests pour l'API. Ces tests sont conçus pour détecter les faiblesses de l'infrastructure (par exemple, les faiblesses de la sécurité pour les opérations commerciales, les produits tiers ou les systèmes Internet) et de l'application elle-même.
    2. Etape de test : Pendant l'étape de test, AppScan teste votre application, en fonction des réponses reçues lors de l'étape d'exploration, afin de détecter les faiblesses et évaluer leur degré de gravité.

      Une liste actualisée de tous les tests inclus à votre version courante d'AppScan peut être visualisée dans la boîte de dialogue Configuration des examens (voir Stratégie de test et optimisation).

      Vous pouvez également créer des tests définis par l'utilisateur en plus des tests créés et exécutés automatiquement par AppScan (voir Tests définis par l'utilisateur). Vos tests peuvent compléter ceux générés par AppScan et vérifier les résultats trouvés par ce dernier.

      Les résultats des tests sont affichés dans la Liste des résultats où vous pouvez les visualiser et les modifier. Les détails complets des résultats sont affichés dans le Panneau des détails.

  4. Activités post-examen :

    1. Vérifier les résultats : Analysez les résultat de l'examen et ajustez la configuration des examens, si nécessaire, en fonction de l'étude des résultats et relancez les examens.

    2. Vérifier les recommandations de correction : Évaluez et appliquez les correctifs suggérés pour résoudre les vulnérabilités identifiées.
    3. Explorez la requête manuellement : Vérifiez manuellement toute requête nécessitant un examen plus approfondi.
    4. Générer des rapports : Créez des rapports détaillés basés sur les résultats de l'examen.
Remarque : AppScan prend en charge à la fois l'exploration manuelle et l'importation du trafic enregistré, en complément de ses capacités d'examen automatique, offrant ainsi une approche complète de l'évaluation de la sécurité.