自动化 DAST 扫描

在功能测试中加入动态扫描。

在 DevOps 环境中,能够将安全性扫描整合到 Web 应用程序的功能测试过程中变得日益重要。如果您使用自动化框架(例如 Selenium),则可以利用已编写的脚本来创建定制扫描:
  • 从自动框架到 Web 应用程序的扫描将通过代理服务器代理来发送。
  • 服务器将记录流量,并将其另存为 dast.config 文件。
  • 上载 AppScan on Cloud 使用的文件作为扫描的探索数据。
  • 通过自动化服务器代理手动发送流量来创建 dast.config 文件。
1. 自动扫描流程
ASoC 自动化工作流程:
  1. 初始化(每台 AppScan Presence 服务器一次):
    1. 创建 AppScan Presence
    2. 为 Presence 配置专用站点服务器代理
    3. 启动 AppScan Presence
    4. (可选)安装根证书以避免 SSL 警告(请参阅 配置 HCL AppScan 流量记录器)。
  2. 运行扫描:
    1. 根据配置在指定或随机选择的端口上开始代理侦听(请参阅 启动和停止 HCL AppScan 流量记录器)。
    2. 通过选定代理运行 Selenium 脚本(或其他功能测试),

      或者

      使用配置为通过选定代理进行工作的 Web 浏览器,手动浏览 Web 应用程序。

    3. 停止代理并保存流量记录。
    4. 通过在特定应用程序下创建新的扫描,使用 ASoC REST API 发布至 ASoC。请参阅REST API

可使用 REST API 下载该工作流程的演示脚本。下载演示脚本

另请参阅: