Postman コレクションを使用したスキャン
Web API への要求の Postman コレクションがある場合は、それをインポートして、スキャンの基礎として使用できます。
インポートの後、AppScan はコレクションを使用して独自の探査のステージを実行し、結果のデータを「ダッシュボード」ビューと「データ」ビューに表示します。AppScan をテスト・ステージに自動的に進めるか、スキャンを完了するか、後でテスト・ステージを開始するかを選択します。
AppScan デモ・テスト・サイトをスキャンするためのサンプルの Postman コレクションが AppScan インストールに含まれています。サンプル・ファイルを参照してください 。
前提条件:
- Web API で許可が必要な場合、許可要求には、有効な資格情報 (API キー、基本認証、OAuth 2 リフレッシュ・トークン、またはその他の固定トークンとパスワード) が含まれている必要があります。許可要求はコレクションの最初の要求の 1 つである必要があります。デフォルトでは、AppScan は許可要求の最初の 7 つの要求を検査しますが、必要に応じて、「構成」>「詳細構成」>「Postman」でこれを増やすことができます。制限事項: プロンプト・ユーザーを使用する OAuth2 など、ユーザーがいる必要がある認証方式はサポートされていません。ただし、リフレッシュ・トークン (サービス・トークンとも呼ばれます) を使用するオフラインの付与タイプで OAuth2 を使用できます。
Postman コレクションをインポートするには、以下のようにします。
- AppScan が Web API にアクセスするためにカスタム・プロキシー設定が必要な場合は、最初に「構成」ダイアログ・ボックス >「通信およびプロキシー」>「プロキシー」>「カスタム・プロキシー」で構成します。詳しくは、「通信およびプロキシー」を参照してください。
- 「Postman コレクション」を選択します。 に移動し、API タイプとして
- 「Postman コレクションを選択」をクリックして、Postman コレクションを追加します。
- 「Postman コレクション・ファイル」領域に、以下を入力します。
- Postman コレクション・ファイル: JSON ファイルの完全な URL またはパス。重要: ファイル拡張子は .json でなければなりません
- リンクされたファイル (オプション): コレクションに他のファイルへのリンクが含まれている場合は、それらすべてを単一の ZIP ファイルに含め、ここで選択する必要があります。以下の条件が適用されます。
- ファイル・パスは、絶対パスではなく、コレクションに対する相対パスである必要があります
- ファイルは Postman コレクション・フォルダー内に配置する必要があります (サブ・フォルダーでもかまいません)。外部に配置することはできません
- パスは Postman で使用されるパスと同じでなければなりません
- Postman 環境ファイル (オプション): コレクションで環境変数を使用する場合は、Postman 環境の JSON ファイルへの完全な URL またはパスを指定する必要があります。
- Postman Globals ファイル (オプション): コレクションでグローバル変数を使用する場合は、Postman Globals の JSON ファイルへの完全な URL またはパスを指定する必要があります。
- Postman コレクション・ファイル: JSON ファイルの完全な URL またはパス。
- 「ドメイン」 領域で、スキャンに含めるすべてのドメインを追加します。これらのドメインは、個別に追加することも、CSV ファイルを使用して複数のドメインを一度に追加することもできます。以下の両方の形式が有効です。
https://demo.testfire.net/ demo.testfire.net
重要: リストされていないドメインはスキャンされません。 - 「インポート」をクリックします。Postman コレクションがインポートされます。
- GraphQL Web API をスキャンする場合は、「GraphQL カスタム・パラメーターを適用」を選択して、AppScan に GraphQL の事前定義済みテンプレートのパラメーターを含められるようにします
- OpenAPI をスキャンする場合は、「OpenAPI カスタム・パラメーターを適用」 を選択してから、「OpenAPI 仕様ファイルを追加」をクリックします。「参照」をクリックして有効な仕様ファイルを追加し、スキャン範囲を改善するためのパラメーターを含め、「続行」をクリックします。
- スキャンを実行して、Web API の脆弱性を検出します。注: 構成に Postman コレクションを追加すると、そのコレクションをテンプレートに含めることができなくなるため、そのコレクションを SCANT (テンプレート) ファイルとしてエクスポートすることはできません。そのコレクションを削除するか、SCAN ファイルとして保存する必要があります。
- コレクションにログイン資格情報が含まれている場合は、「構成」>「ログイン管理」に移動し、緑色の「正常に構成されたログイン」メッセージを探して、ログインの詳細が検出されたことを確認します。ログインが検出されなかった場合は、「Postman コレクション・スキャンのトラブルシューティング」を参照してください。
複数のコレクションの使用
現在、スキャンごとにインポートできる Postman コレクションは 1 つのみです。
最初のコレクションと同じ構成を使用して 2 番目のコレクションをスキャンするには、以下のようにします。
- 最初のコレクションでスキャンを構成して保存したら、「ファイル」>「現在の構成から新規スキャン」に移動し、2 番目のコレクションをインポートします。