Web API スキャン
HCL AppScan Enterprise は、組織が Web アプリケーションおよび Web API 用のアプリケーション・セキュリティー・プログラムを管理できる、スケーラブルなエンタープライズ・ソリューションです。セキュリティーの脆弱性を特定するための最先端の手法および技術を備えており、アプリケーションをサイバー攻撃の脅威から保護するのに役立ちます。
HCL AppScan Enterprise 動的分析エンジンは、ハッカーが利用する方法と類似する手法を使用してアプリケーションを攻撃して、ランタイムにアプリケーションのセキュリティーを評価します。テストの結果には、アプリケーションのインベントリーから検証や修正のために再現可能な詳細な攻撃トラフィックまで、さまざまなデータ・セットが含まれます。このデータを UI で検査および処理したり、各種形式でエクスポートして他のツールと共有することができます。
Web API をスキャンするには、AppScan Enterprise が生成された API トラフィックを取得し、このデータを使用して自動化された方法でテストを実行する必要があります。
API スキャン用のデータを AppScan Enterprise に提供する方法は、以下のとおりです。
- AppScan Dynamic Analysis Client (ADAC) を使用したトラフィックを記録する
- Postman または SoapUI を組み込んで使用する
- その他の外部クライアントを使用する
- AppScan トラフィック・レコーダーを使用したトラフィックの記録
- Postman コレクションを使用したスキャン
記録されたトラフィックは、以下のいずれかのオプションを使用して AppScan Enterprise にアップロードできます。
- ADAC を使用したトラフィックをアップロードする
- REST API を使用してスキャンを作成し、トラフィックをアップロードする
- AppScan Standard を使用して API スキャンを作成し、スキャン用に AppScan Enterprise にファイルをアップロードします。外部クライアントを使用した記録 と AppScan Standard からのマニュアル探査データのインポート を参照してください。
トラフィック・データの取り込みおよびインポートに使用されるさまざまな方法について、詳しくは トラフィック・データのキャプチャーおよびインポート を参照してください。
API スキャンを作成するときに、サイトへの認証がある場合は、ログイン手順の記録を提供することをお勧めします。
ログイン手順の記録は、トラフィックの記録に類似した以下の方法を使用して行うことができます。