主页
参考
查看该产品的参考信息。
“文件夹资源管理器”主题
了解“文件夹资源管理器”主题。
在文件夹资源管理器中创建扫描
了解如何在文件夹资源管理器中创建扫描。
Web API 扫描
HCL AppScan Enterprise 是一款可扩展的企业解决方案，组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。
如何使用 ADAC 创建 API 扫描
您可以使用 AppScan Enterprise 中的 ADAC 扫描 Web API，您可以在其中创建和运行 DAST 扫描。扫描 Web API 需要用户手动输入，以向 AppScan Enterprise 表明如何使用 API。此手动输入可使用“手动探索”部分完成。在此部分中，您可以使用外部客户机（例如 Postman、SOAP UI 或任何其他外部客户机）记录流量，或者导入先前记录的流量文件。

参考
查看该产品的参考信息。
- “配置向导”主题
  了解“配置向导”主题。
- “文件夹资源管理器”主题
  了解“文件夹资源管理器”主题。
  - 使用文件夹资源管理器
    了解如何使用文件夹资源管理器。
  - 在文件夹资源管理器中创建扫描
    了解如何在文件夹资源管理器中创建扫描。
    - 使用 AppScan Enterprise 中的扫描属性创建 QuickScan 模板
      QuickScan 模板包含内容扫描作业，或者导入作业以及报告包。在“文件夹”列表的“模板”文件夹中创建扫描模板后，它们将作为扫描模板自动提供给 QuickScan 用户或更高级的用户，这些用户已在“显示文件夹浏览器”列表中打开了“QuickScan 视图”。QuickScan 用户创建扫描时，作业和报告包将基于此模板创建，但对于 QuickScan 用户来说它们仅作为扫描出现。
    - 配置无安全测试的基本扫描
      使用该任务以最低配置来配置基本扫描。此扫描将在您的 Web 应用程序中自动发现更多要测试的 URL。对于具有许多静态链接并不需要大量用户交互的应用程序，请使用此方法。此扫描不会测试安全问题，但是可帮助您开始探索站点以确定完整站点覆盖范围。
    - 使用 AppScan Enterprise 中的扫描属性配置安全扫描
      应在预生产环境中（如登台服务器或“质量保证”服务器上）执行安全扫描。这样做有助于包含与执行安全扫描相关联的风险。预生成环境应该尽可能反映生产环境；应用程序在两个环境中应该具有相同的可执行文件，以便您知道在彻底测试暴露的应用程序。安全扫描还应该集成到软件开发生命周期 (SDLC) 过程中，以便可以在安全问题进入生产环境之前将其捕获。
    - 安全扫描的工作方式
      安全扫描有两个不同的阶段：探索和测试。
    - 安全测试的工作流程
      安全扫描需要认真配置，以便其可以找到 Web 应用程序上的所有 URL，然后测试其弱点。
    - Web API 扫描
      HCL AppScan Enterprise 是一款可扩展的企业解决方案，组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。
      - 如何使用 ADAC 创建 API 扫描
        您可以使用 AppScan Enterprise 中的 ADAC 扫描 Web API，您可以在其中创建和运行 DAST 扫描。扫描 Web API 需要用户手动输入，以向 AppScan Enterprise 表明如何使用 API。此手动输入可使用“手动探索”部分完成。在此部分中，您可以使用外部客户机（例如 Postman、SOAP UI 或任何其他外部客户机）记录流量，或者导入先前记录的流量文件。
      - 如何使用 AppScan 流量记录器记录 Web API 的流量
        您可以使用通过 AppScan 流量记录器完成的记录扫描 Web API。您可以使用 AppScan 流量记录器在 AppScan Enterprise 作业中记录可用作探索数据的流量。AppScan 流量记录器是用于管理流量记录器实例的系统。可按需创建流量记录器实例，以记录稍后可在 DAST 扫描中使用的流量和登录序列。
      - 如何使用 Postman 集合进行扫描
        如果您有针对 Web API 的请求的 Postman 集合，那么您可以添加此集合并将其用作扫描的基础。AppScan 会使用该集合运行自己的探索阶段，并在“仪表板”中显示生成的数据。
    - JavaScript™ 源代码分析的工作方式
      JavaScript™ Security Analyzer (JSA) 执行静态 JavaScript 源代码分析来检测一系列客户机端问题（主要是基于 DOM 的跨站点脚本编制）。JSA 分析 AppScan® Enterprise 在“探索”阶段中收集的 HTML 页面。JSA 与“测试”阶段并行运行，或者可以随时手动对现有“探索”结果启动。
    - 通过高级配置选项优化扫描
      使用此任务来配置具有复杂配置的高级扫描。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域，请使用该方法。
    - 捕获并导入流量数据
    - 从 AppScan Standard 导入基于操作的登录文件
      AppScan Standard 中基于操作的登录功能将生成用户在浏览器中的实际操作，而不仅仅是请求，并将在浏览器中重放此序列。通过在 AppScan Standard 创建基于操作的登录并将其导入 AppScan Enterprise 中来利用该功能，从而帮助在扫描期间避免离开会话的事件。
    - 从 AppScan® Standard 导入手动探索数据
      可以将从 AppScan® Standard V7.x（和更高版本）导出的数据导入到 AppScan Enterprise 中。导入该数据能节省时间并减少冗余的工作量。只有来自 AppScan .exd 文件的 URL（参数和域）与 HTTP 请求才会导入。
    - 导入要在报告中使用的 AppScan® 数据
      导入作业从数据文件获取结果，并将其集成到 AppScan® Enterprise Server 数据库中。导入的数据可用于创建报告和仪表板。它也可以结合来自内容扫描作业的内容来完整展现您的问题。
- 通过报告进行分类
  作业已运行后会自动生成报告。这些报告提供一种管理问题的方法，以便您能够管理对于贵组织很重要的问题，并以 Enterprise Console 的工作流程和贵组织内其他进程的工作流程均支持的方式来完成此目标。
- 配置管理器

如何使用 ADAC 创建 API 扫描

您可以使用 AppScan Enterprise 中的 ADAC 扫描 Web API，您可以在其中创建和运行 DAST 扫描。扫描 Web API 需要用户手动输入，以向 AppScan Enterprise 表明如何使用 API。此手动输入可使用“手动探索”部分完成。在此部分中，您可以使用外部客户机（例如 Postman、SOAP UI 或任何其他外部客户机）记录流量，或者导入先前记录的流量文件。

关于此任务

使用 ADAC 创建 API 扫描的基本步骤已经介绍过。

过程

在 AppScan Enterprise 中，从扫描视图导航到要创建扫描的文件夹，然后单击创建。
在创建文件夹项页面中，选择使用模板的作业并选择扫描模板。
扫描模板是预定义的扫描配置。您可以装入常规扫描模板、预定义模板或先前已保存的模板。您可以稍后根据当前扫描的需要调整配置。有关更多信息，请参阅使用 AppScan Standard 扫描属性根据模板创建扫描。

使用模板创建扫描作业时，它将启动 ADAC。
在 ADAC 中，完成以下步骤以配置扫描作业：
1. 定义起始 URL
2. 记录登录序列
  如果先前已记录登录序列，请通过“导入”选项使用记录的文件而不要进行记录。
3. 使用外部客户机记录流量
  您还可以导入先前记录的 API 流量文件。有关更多信息，请参阅捕获并导入流量数据。
4. 配置平台认证
5. 配置作业属性
6. 完成后，单击创建作业，然后退出 ADAC
  扫描作业在 AppScan Enterprise 扫描视图中您的扫描下创建。
从扫描视图中选择扫描，然后单击运行。
AppScan 将启动包含以下两个阶段的扫描：探索阶段：AppScan 根据您上载的流量爬取 Web API 并创建测试；测试阶段：AppScan 根据探索阶段收到的响应测试 Web API，从而揭示漏洞并评估其严重性。

下一步做什么

扫描结果准备就绪时，您可以在“结果”选项卡上查看报告。报告显示关于您的 Web API 的信息，并提供浏览更多详细信息的功能。您可以复审结果，以评估 Web API 的安全状态。您可能还需要执行以下操作：

探索其他链接
复审修复任务
打印报告
复审扫描结果，修改扫描配置，然后再次扫描