主页
参考
查看该产品的参考信息。
“文件夹资源管理器”主题
了解“文件夹资源管理器”主题。
在文件夹资源管理器中创建扫描
了解如何在文件夹资源管理器中创建扫描。
Web API 扫描
HCL AppScan Enterprise 是一款可扩展的企业解决方案，组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。

参考
查看该产品的参考信息。
- “配置向导”主题
  了解“配置向导”主题。
- “文件夹资源管理器”主题
  了解“文件夹资源管理器”主题。
  - 使用文件夹资源管理器
    了解如何使用文件夹资源管理器。
  - 在文件夹资源管理器中创建扫描
    了解如何在文件夹资源管理器中创建扫描。
    - 使用 AppScan Enterprise 中的扫描属性创建 QuickScan 模板
      QuickScan 模板包含内容扫描作业，或者导入作业以及报告包。在“文件夹”列表的“模板”文件夹中创建扫描模板后，它们将作为扫描模板自动提供给 QuickScan 用户或更高级的用户，这些用户已在“显示文件夹浏览器”列表中打开了“QuickScan 视图”。QuickScan 用户创建扫描时，作业和报告包将基于此模板创建，但对于 QuickScan 用户来说它们仅作为扫描出现。
    - 配置无安全测试的基本扫描
      使用该任务以最低配置来配置基本扫描。此扫描将在您的 Web 应用程序中自动发现更多要测试的 URL。对于具有许多静态链接并不需要大量用户交互的应用程序，请使用此方法。此扫描不会测试安全问题，但是可帮助您开始探索站点以确定完整站点覆盖范围。
    - 使用 AppScan Enterprise 中的扫描属性配置安全扫描
      应在预生产环境中（如登台服务器或“质量保证”服务器上）执行安全扫描。这样做有助于包含与执行安全扫描相关联的风险。预生成环境应该尽可能反映生产环境；应用程序在两个环境中应该具有相同的可执行文件，以便您知道在彻底测试暴露的应用程序。安全扫描还应该集成到软件开发生命周期 (SDLC) 过程中，以便可以在安全问题进入生产环境之前将其捕获。
    - 安全扫描的工作方式
      安全扫描有两个不同的阶段：探索和测试。
    - 安全测试的工作流程
      安全扫描需要认真配置，以便其可以找到 Web 应用程序上的所有 URL，然后测试其弱点。
    - Web API 扫描
      HCL AppScan Enterprise 是一款可扩展的企业解决方案，组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。
      - 如何使用 ADAC 创建 API 扫描
        您可以使用 AppScan Enterprise 中的 ADAC 扫描 Web API，您可以在其中创建和运行 DAST 扫描。扫描 Web API 需要用户手动输入，以向 AppScan Enterprise 表明如何使用 API。此手动输入可使用“手动探索”部分完成。在此部分中，您可以使用外部客户机（例如 Postman、SOAP UI 或任何其他外部客户机）记录流量，或者导入先前记录的流量文件。
      - 如何使用 AppScan 流量记录器记录 Web API 的流量
        您可以使用通过 AppScan 流量记录器完成的记录扫描 Web API。您可以使用 AppScan 流量记录器在 AppScan Enterprise 作业中记录可用作探索数据的流量。AppScan 流量记录器是用于管理流量记录器实例的系统。可按需创建流量记录器实例，以记录稍后可在 DAST 扫描中使用的流量和登录序列。
      - 如何使用 Postman 集合进行扫描
        如果您有针对 Web API 的请求的 Postman 集合，那么您可以添加此集合并将其用作扫描的基础。AppScan 会使用该集合运行自己的探索阶段，并在“仪表板”中显示生成的数据。
    - JavaScript™ 源代码分析的工作方式
      JavaScript™ Security Analyzer (JSA) 执行静态 JavaScript 源代码分析来检测一系列客户机端问题（主要是基于 DOM 的跨站点脚本编制）。JSA 分析 AppScan® Enterprise 在“探索”阶段中收集的 HTML 页面。JSA 与“测试”阶段并行运行，或者可以随时手动对现有“探索”结果启动。
    - 通过高级配置选项优化扫描
      使用此任务来配置具有复杂配置的高级扫描。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域，请使用该方法。
    - 捕获并导入流量数据
    - 从 AppScan Standard 导入基于操作的登录文件
      AppScan Standard 中基于操作的登录功能将生成用户在浏览器中的实际操作，而不仅仅是请求，并将在浏览器中重放此序列。通过在 AppScan Standard 创建基于操作的登录并将其导入 AppScan Enterprise 中来利用该功能，从而帮助在扫描期间避免离开会话的事件。
    - 从 AppScan® Standard 导入手动探索数据
      可以将从 AppScan® Standard V7.x（和更高版本）导出的数据导入到 AppScan Enterprise 中。导入该数据能节省时间并减少冗余的工作量。只有来自 AppScan .exd 文件的 URL（参数和域）与 HTTP 请求才会导入。
    - 导入要在报告中使用的 AppScan® 数据
      导入作业从数据文件获取结果，并将其集成到 AppScan® Enterprise Server 数据库中。导入的数据可用于创建报告和仪表板。它也可以结合来自内容扫描作业的内容来完整展现您的问题。
- 通过报告进行分类
  作业已运行后会自动生成报告。这些报告提供一种管理问题的方法，以便您能够管理对于贵组织很重要的问题，并以 Enterprise Console 的工作流程和贵组织内其他进程的工作流程均支持的方式来完成此目标。
- 配置管理器

Web API 扫描

HCL AppScan Enterprise 是一款可扩展的企业解决方案，组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。

HCL AppScan Enterprise 动态分析引擎，通过使用类似于黑客所用的方法攻击应用程序，在运行时评估应用程序安全性。测试结果包括从应用程序清单到详细攻击流量的一系列丰富数据，系统可以重现这些数据以进行验证和修复。可以在 UI 中检查和处理这些数据，也可以采用各种格式导出这些数据，以便在其他工具中共享。

要扫描 Web API，AppScan Enterprise 必须获取生成的 API 流量，然后使用此数据自动执行测试。

可以通过多种方式为 AppScan Enterprise 提供数据来进行 API 扫描：

使用 AppScan Dynamic Analysis Client (ADAC) 记录流量
- 使用 Postman 或 SoapUI 集成
- 使用任何其他外部客户机
使用 AppScan 流量记录器记录流量
使用 Postman 集合扫描

可以使用下列其中一个选项将记录的流量上载到 AppScan Enterprise 扫描：

使用 ADAC 上载流量
使用 REST API 创建扫描并上载流量
使用 AppScan Standard 创建 API 扫描，然后在 AppScan Enterprise 中上载文件以进行扫描。请参阅使用外部客户机进行记录和从 AppScan Standard 导入手动探索数据。

有关用于捕获和导入流量数据的不同方法的更多信息，请参阅捕获并导入流量数据。

创建 API 扫描时，如果您的站点使用认证，建议提供登录序列记录。

可以使用以下与记录流量相似的方法完成登录序列的记录：