Examen à l'aide d'une collection Postman

Si vous disposez d'une collection de demandes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen.

Après l'importation, AppScan exécute sa propre phase d'exploration à l'aide de la collection et affiche les données résultantes dans les vues Tableau de bord et Données. Vous pouvez choisir si AppScan poursuit automatiquement l'étape de test, pour terminer l'examen ou si vous préférez démarrer l'étape de test ultérieurement.

Un exemple de collection Postman pour examiner le site de test de démonstration AppScan est inclus dans l'installation d'AppScan, voir Fichiers exemple.

Prérequis :
  • Si l'API Web requiert une autorisation, la demande d'autorisation doit inclure des données d'identification valides (clé d'API, authentification de base, jeton d'actualisation OAuth 2 ou autre jeton et mots de passe fixes). La requête d'autorisation doit être l'une des premières requêtes de la collection. Par défaut, AppScan examine les sept premières requêtes pour la requête d'autorisation, mais si nécessaire, ce chiffre peut être augmenté dans Configuration > Configuration avancée > Postman.
    Limitation : Les méthodes d'authentification nécessitant la présence d'un utilisateur, telles que OAuth2 avec l'utilisateur invité, ne sont pas prises en charge. Toutefois, vous pouvez utiliser OAuth2 avec un type d'octroi hors ligne qui utilise un jeton d'actualisation (également appelé jeton de service).
Pour importer une collection Postman :
  1. Si des paramètres de proxy personnalisés sont nécessaires pour qu'AppScan accède à l'API Web, configurez-les d'abord dans la boîte de dialogue Configuration > Communication et proxy > Proxy > Proxy personnalisé. Pour plus de détails, voir Communication et proxy.
  2. Accédez à Configuration > API et sélectionnez le type d'API Collection Postman.
  3. Cliquez sur Sélectionner la collection Postman pour ajouter votre collection Postman.
  4. Dans la zone Fichiers de collection Postman, entrez ce qui suit :
    • Fichier de collection Postman : URL complète ou chemin d'accès complet au fichier JSON.
      Important : Le fichier d'extension doit être .json
    • Fichiers liés (facultatif) : Si la collection inclut des liens vers d'autres fichiers, vous devez les inclure tous dans un seul fichier ZIP et la sélectionner ici. Les conditions suivantes s'appliquent :
      • Les chemins d'accès aux fichiers doivent être relatifs à la collection et non absolus.
      • Les fichiers doivent se trouver dans le dossier Collection Postman (il peut s'agir d'un sous-dossier), et non en dehors de celui-ci.
      • Le chemin doit être identique au chemin utilisé dans Postman.
    • Fichier d'environnement Postman (facultatif) : Si votre collection utilise des variables d'environnement, vous devez fournir l'URL complète ou le chemin d'accès complet au fichier JSON de l'environnement Postman.
    • Fichier Globals Postman (facultatif) : Si votre collection utilise des variables globales, vous devez fournir l'URL complète ou le chemin d'accès complet au fichier JSON Globals Postman.
  5. Dans la zone Domaines, ajoutez tous les domaines que vous souhaitez inclure dans l'examen. Vous pouvez ajouter ces domaines individuellement ou plusieurs domaines à la fois à l'aide d'un fichier CSV. Ces deux formats sont valides :
    https://demo.testfire.net/
    demo.testfire.net
    Important : Les domaines non répertoriés ne seront pas examinés.
  6. Cliquez sur Importer. La collection Postman est importée.
  7. Si vous analysez une API Web GraphQL, sélectionnez Appliquer des paramètres personnalisés GraphQL afin que AppScan inclue les paramètres provenant du modèle prédéfini GraphQL.
  8. Si vous examinez une OpenAPI, sélectionnez Appliquer les paramètres personnalisés OpenAPI et cliquez sur Ajouter un fichier de spécification OpenAPI. Cliquez sur Parcourir pour ajouter un fichier de spécification valide afin d'inclure les paramètres pour une meilleure couverture d'examen, puis cliquez sur Continuer.
  9. Exécutez l'examen pour détecter les vulnérabilités dans votre API Web.
    Remarque : Une fois que vous avez ajouté une collection Postman à une configuration, vous ne pouvez pas l'exporter en tant que fichier SCANT (modèle), car la collection ne peut pas être incluse dans un modèle. Vous devez supprimer la collection ou l'enregistrer en tant que fichier SCAN.
  10. Si votre collection inclut des données d'identification de connexion, accédez à Configuration > Gestion de la connexion et recherchez le message vert « Connexion correctement configurée » pour confirmer que les détails de connexion ont été détectés.Message de connexion de configuration réussie avec un bouton de nouvelle validation.Si la connexion n'a pas été détectée, voir Traitement des incidents liés à l’examen de collection Postman.

Utilisation de collections multiples

Actuellement, une seule collection Postman peut être importée par examen.

Pour examiner une deuxième collection à l'aide de la même configuration que la première :
  • Après avoir configuré et enregistré un examen avec votre première collection, accédez à Fichier > Nouvel examen à partir de la configuration actuelle et importez la deuxième collection.
Si vous n'avez pas besoin de la même configuration, créez simplement un examen pour la deuxième collection.