Web 应用程序和 API 的探索方法

本主题说明了在 AppScan 测试站点之前可用于探索站点的不同方法。

扫描站点的过程是:首先探索站点,然后根据收集的数据来测试站点。可以通过一种或多种不同探索方法来收集“探索数据”。在所有情况下,一旦收集了探索数据,在测试阶段中个,AppScan 都将用于创建测试以及向站点发送测试。
探索 Web 应用程序(带有用户界面的站点)
  • 对许多应用程序而言,为 AppScan 提供起始 URL 和认证凭证就足以使其能够测试站点。
  • 手动探索:如果需要,您可以通过 AppScan 来手动探索站点,以便能够访问仅通过特定用户输入才能访问的区域。
  • 多步骤操作:对于只能通过首先按特定顺序访问其他页面才能访问的页面,您可以记录多步骤操作以供 AppScan 使用。
虽然通过使用配置向导,您可以只需几个步骤即可配置和启动扫描,但对于复杂站点,通过使用“配置对话框”,您可以微调和定制更多设置。
探索 Web API
AppScan 为探索 Web API 提供了以下三种主要方法:
  1. 导入 Postman 集合

    如果您已在 DevOps 流程中预先记录了 API 请求的 Postman 集合,则可以导入该集合以用作扫描的探索阶段。AppScan 会分析并使用集合来测试站点。请参阅 使用 Postman 集合扫描

  2. 使用 OpenAPI 描述文件
    • 如果您有适用于 Web 服务的 OpenAPI 描述文件(JSON 或 YAML 格式),则可以使用此描述文件作为扫描的基础。AppScan 将根据描述启动自动扫描。请参阅使用 OpenAPI 描述文件进行扫描
    • 或者,您也可以使用 Web API 向导扩展来配置扫描,并设置使用服务所需的多步骤序列。
  3. 记录代理设置
    1. 设备设置:将 AppScan 配置为用于探索服务的设备(例如移动电话或模拟器)的记录代理。AppScan 随后会分析收集的探索数据并发送相应的测试。
    2. 外部工具记录:您还可以使用 AppScan 记录使用外部工具(如 Web API 功能测试程序)的流量。请参阅使用外部客户机
除了上面列出的方法外,您还可以选择手动探索导入探索数据。无论在哪种情况下,一旦您随探索数据一起提供 AppScan,它就可以继续自动测试站点并显示扫描结果供复审和分类。