使用 OpenAPI 描述文件进行扫描
您可以使用 OpenAPI 描述文件自动扫描 OpenAPI,这允许您更新参数并包括所有端点,从而提供更好的覆盖范围。这可确保实现更全面、更准确的扫描,有助于识别整个 API 中的潜在问题。
过程
- 转至配置 > API,并选择 OpenAPI。
- 选择 OpenAPI 描述文件,然后单击添加描述文件。
-
输入 URL 或单击浏览以从本地驱动器中选择文件,然后单击继续。AppScan 仅接受 JSON 或 YAML 格式的描述文件。
AppScan 将解析数据并将其加载到附加参数表中。
-
编辑参数值,通过将参数值与其相关的 URL 进行匹配来提高自动扫描的性能。
扫描期间仅使用更新的参数。因此,强烈建议更新参数以获得更好的扫描覆盖范围,确保覆盖所有端点并避免请求失败。
- 根据需要配置 API 认证。根据您的描述文件,将显示配置 API 密钥和/或配置基本认证 (HTTP) 链接以配置认证。如果未显示链接,您可以通过 API 密钥、HTTP 认证或登录管理手动配置认证,以确保获得更好的扫描覆盖范围,可以覆盖大多数端点并避免请求失败。
-
配置完成后,便可开始扫描。
AppScan 将启动自动扫描。注: 如果将本地文件(而不是 URL)添加到配置中,则无法将其导出为 SCANT(模板)文件,因为描述文件不能包含在模板中。您必须除去描述文件或另存为 SCAN 文件。