ADAC を使用して API スキャンを作成する方法

DAST スキャンを作成および実行できる AppScan Enterprise から ADAC を使用して Web API をスキャンできます。Web API スキャンでは、 ユーザーがいくつか手動入力をして AppScan Enterprise に API の使用方法を示す必要があります。これを行う場合は、「マニュアル探査」セクションを使用します。このセクションでは、Postman や SOAP UI などの外部クライアントを使用してトラフィックを記録したり、以前に記録したトラフィック・ファイルをインポートすることができます。

このタスクについて

ADAC を使用して API スキャンを作成するための基本的なステップについて説明します。

手順

  1. AppScan Enterprise で、 「スキャン」 ビューから、スキャンを作成するフォルダに移動し、 「作成」をクリックします。
  2. 「フォルダー項目の作成」ページで、「テンプレートを使用したジョブ」を選択し、スキャン・テンプレートを選択します。
    スキャン・テンプレートは定義済みのスキャン構成です。標準的なスキャン・テンプレート、定義済みのテンプレート、以前に保存したテンプレートをロードできます。構成は、後で必要に応じて現在のスキャンに合わせて調整できます。詳しくは、AppScan Standard スキャン・プロパティーを使用したテンプレートに基づくスキャンの作成を参照してください。
    テンプレートを使用してスキャン・ジョブを作成すると、ADAC が起動します。
  3. ADAC では、以下のステップを実行してスキャン・ジョブを構成します。
    1. 開始 URL を定義します。
    2. ログイン手順の記録
      ログイン手順を以前に記録した場合は、「インポート」オプションを使用して、記録の代わりに記録されたファイルを使用します。
    3. 外部クライアントを使用してトラフィックを記録する
      以前に記録された API トラフィック・ファイルをインポートすることもできます。詳しくは、トラフィック・データのキャプチャーおよびインポートを参照してください。
    4. プラットフォーム認証を構成する
    5. ジョブ・プロパティーを構成する
    6. 完了したら、 「ジョブの作成」 をクリックして ADAC を終了します。
      スキャン・ジョブは、「スキャン」 ビューのスキャンの下の AppScan Enterprise に作成されます。
  4. 「スキャン 」 ビューで、スキャンを選択し「実行」をクリックします。
    AppScan は、以下で構成されるスキャンを開始します。探査のステージでは、アップロードして作成したテストのトラフィックに基づいて Web API をクロールし、テスト・ステージでは、脆弱性を明らかにしてその重大度を評価するために、探査ステージ中に受信した応答に基づいて AppScan が Web API をテストします。

次のタスク

スキャン結果の準備ができたら、「結果」タブにレポートを表示できます。レポートには Web API に関する情報が表示され、さらなる詳細を参照するための機能が提供されます。結果を確認して、Web API のセキュリティー状況を評価できます。また、以下のことが必要な場合があります。
  • その他のリンクを詳しく見る
  • 修復タスクの確認
  • レポートを印刷する
  • スキャン結果の確認、スキャン構成の変更、再スキャン