IAST à l'aide de l'API REST

Configurez et démarrez un examen IAST, ainsi qu'un déploiement d'agents, via l'API REST.

Avant de commencer

Pour obtenir des informations générales sur l'API REST ASoC, consultez API REST
Voir également les ressources suivantes sur Swagger :

Procédure

  1. Obtenez une clé d'API.
  2. Obtenez l'ID de l'application dans laquelle vous souhaitez exécuter l'examen en exécutant l'une des actions suivantes :
    • Dans l'interface utilisateur, ouvrez l'onglet de l'application spécifique et regardez l'URL. La dernière section avant le mot "examens" est l'ID. Par exemple, dans ce cas :
      cloud.appscan.com/AsoCUI/serviceui/main/myapps/app01/123456a-78b-90c-123ab4c/scans
      l'ID de l'application est le suivant : 123456a-78b-90c-123ab4c
    • Vous pouvez également obtenir une liste des ID d'application pour votre utilisateur (clé d'API) via le nœud final GetApps de l'API REST :
      request URL:
                  GET https://cloud.appscan.com/api/v4/Apps
                  headers:
                  "Authorization=Bearer <api key>"
                  Parameters:
                  “$select=Id"
  3. Créez un examen IAST à l'aide du nœud final CreateIastAnalyzerScan : 
    request URL:
            POST https://cloud.appscan.com/api/v4/Scans/IASTAnalyzer
            headers:
            " Authorization=Bearer <token>, Accept: application/json, Content-Type: application/json"
            Json: {
            "ConnLostStopTimer": true, 
            "ScanName": <scanName>, 
            "EnableMailNotification": true, 
            "Locale": "en-US", 
            "AppId": <appId>, 
            "Personal": false
            }
    le corps est le paramètre d'entrée scanModel, une structure json disposant des champs suivants :
    • ScanName correspond au nom que vous donnez à l'examen.
    • AppId (voir l'étape précédente).
    • ConnLostStopTimer correspond à un délai d'attente facultatif (en minutes) permettant d'arrêter l'examen si la connexion d'agent est perdue. Si ce champ est vide, l'examen continuera même en cas de perte de la connexion avec l'agent et s'il n'y a rien à signaler. Cas d'utilisation possible : empêcher qu'un autre utilisateur n'utilise la licence entre-temps.
    • Le champ Personal doit être défini sur false, sauf si vous souhaitez exécuter l'examen en tant qu'examen personnel.
    Le corps de la réponse comprend ScanId. Enregistrez-le pour l'utiliser dans la prochaine étape.
  4. Téléchargez un agent préconfiguré pour signaler des problèmes dans l'examen créé à l'étape précédente. Pour ce faire, utilisez le nœud final Tools/DownloadWithKey. 
    request URL:
          GET https://cloud.appscan.com/api/v4/Tools/IastAgentWithKey?scanId==<scan_id>
          headers:
          "Authorization=Bearer <api key>, Accept: application/zip"
    scan_id correspond à l'ID enregistré à la fin de l'étape précédente.
  5. Déployez l'agent IAST sur votre serveur d'applications.
    L'agent surveille à présent le trafic vers l'application, et signale à ASoC les vulnérabilités qu'il détecte.
  6. Envoyez du trafic à surveiller par IAST vers l'application. Il peut s'agir de vos tests de système classiques ou d'un examen DAST.
    Les problèmes détectés sont à présent enregistrés dans l'examen IAST.