Web 应用程序和 API 的探索方法
本主题说明了在 AppScan 测试站点之前可用于探索站点的不同方法。
扫描站点的过程是:首先探索站点,然后根据收集的数据来测试站点。可以通过一种或多种不同探索方法来收集“探索数据”。在所有情况下,一旦收集了探索数据,在测试阶段中个,AppScan 都将用于创建测试以及向站点发送测试。
- 探索 Web 应用程序(带有用户界面的站点)
- 对许多应用程序而言,为 AppScan 提供起始 URL 和认证凭证就足以使其能够测试站点。
- 手动探索:如果需要,您可以通过 AppScan 来手动探索站点,以便能够访问仅通过特定用户输入才能访问的区域。
- 多步骤操作:对于只能通过首先按特定顺序访问其他页面才能访问的页面,您可以记录多步骤操作以供 AppScan 使用。
- 探索 Web API
- AppScan 为探索 Web API 提供了以下三种主要方法:
-
导入 Postman 集合
如果您已在 DevOps 流程中预先记录了 API 请求的 Postman 集合,则可以导入该集合以用作扫描的探索阶段。AppScan 会分析并使用集合来测试站点。请参阅 使用 Postman 集合扫描
- 使用 OpenAPI 描述文件
- 如果您有适用于 Web 服务的 OpenAPI 描述文件(JSON 或 YAML 格式),则可以使用此描述文件作为扫描的基础。AppScan 将根据描述启动自动扫描。请参阅使用 OpenAPI 描述文件进行扫描。
- 或者,您也可以使用 Web API 向导扩展来配置扫描,并设置使用服务所需的多步骤序列。
- 记录代理设置
- 设备设置:将 AppScan 配置为用于探索服务的设备(例如移动电话或模拟器)的记录代理。AppScan 随后会分析收集的探索数据并发送相应的测试。
- 外部工具记录:您还可以使用 AppScan 记录使用外部工具(如 Web API 功能测试程序)的流量。请参阅使用外部客户机。
-