使用 OpenAPI 描述文件进行扫描

您可以使用 OpenAPI 描述文件自动扫描 OpenAPI,这允许您更新参数并包括所有端点,从而提供更好的覆盖范围。这可确保实现更全面、更准确的扫描,有助于识别整个 API 中的潜在问题。

过程

  1. 转至配置 > API,并选择 OpenAPI
  2. 选择 OpenAPI 描述文件,然后单击添加描述文件
  3. 输入 URL 或单击浏览以从本地驱动器中选择文件,然后单击继续。AppScan 仅接受 JSON 或 YAML 格式的描述文件。
    AppScan 将解析数据并将其加载到附加参数表中。
  4. 编辑参数值,通过将参数值与其相关的 URL 进行匹配来提高自动扫描的性能。
    扫描期间仅使用更新的参数。因此,强烈建议更新参数以获得更好的扫描覆盖范围,确保覆盖所有端点并避免请求失败。
  5. 根据需要配置 API 认证。根据您的描述文件,将显示配置 API 密钥和/或配置基本认证 (HTTP) 链接以配置认证。如果未显示链接,您可以通过 API 密钥HTTP 认证登录管理手动配置认证,以确保获得更好的扫描覆盖范围,可以覆盖大多数端点并避免请求失败。
  6. 配置完成后,便可开始扫描。
    AppScan 将启动自动扫描
    注: 如果将本地文件(而不是 URL)添加到配置中,则无法将其导出为 SCANT(模板)文件,因为描述文件不能包含在模板中。您必须除去描述文件或另存为 SCAN 文件。

下一步做什么

扫描完成后,您可以在自动填充表单页面上查看扫描期间找到的参数,还可以在数据页面上查看发送的请求和找到的参数。