示例 2:通过构建自动化进行 DAST 扫描
开始之前
注: 待使用的扫描模板必须创建。缺省情况下,它不得为 ASE 中包含的缺省值之一(例如:快速简洁扫描或开发者精要)。此演示假定 Manual Explore Server 安装在缺省位置:C:\Program Files (x86)\HCL\AppScan Manual Explorer。
过程
当 AltoroJ 构建在 Jenkins 中启动时, 工作流程就开始了。工作流程:
- 在 Jenkins 中完成构建。
-
Jenkins 运行后构建任体力
python Selenium_StartScan.py dast_auto.config
。 - 脚本启动 Manual Explore Server。
-
运行 selenium 脚本
Selenium_Altoro_View_AcctDetails.py
。(流量通过 Manual Explore Server 代理)。 - M.E.S 已停止,流量捕获已作为 HTD 文件保存在工作空间的目录中。
- 如果没有现成的扫描作业,ASE 会创建一个。
- 向作业添加了起始 URL(旧的被覆盖)。
- HTD 文件被删除。
- 登录类型设置为自动。
- 向扫描作业添加了测试凭证。
- 运行扫描。
- 运行报告包。
- 安全问题提取自“安全问题”报告。
-
更新了 monkit.xml ,因此 Jenkins 可以展示图形了。
此进程所必须的文件有:
-
dast_auto.config - 该自动化的配置文件。编辑此文件以更改脚本的行为。例如:更改扫描模板或起始 URL。文件 Selenium_StartScan.py 具有生成空白配置文件的功能。
- scans.py - 包含调用 ASE 的 API 的 python 库。
-
Selenium_Altoro_ViewAcctDetails.py - 可登录到 AltoroJ、查看第一个帐户的帐户详细信息并进行搜索的 Selenium 脚本。
-
Selenium_StartScan.py - 包含上述第 3 步到第 14 步中所述逻辑的 python 脚本编辑第 80 行,以调整 Jenkins 项目文件夹的命名方式。
- monkit.xml - Jenkins 可用于显示安全扫描结果的文件。
-
geckodriver.log - geckodriver 自动生成的日志文件。geckodriver 是一个驱动程序,允许 Selenium 通过 python 连接 firefox
-