在 AppScan® Enterprise 中使用 AppScan 流量记录器实现测试自动化
您可以借助 AppScan 流量记录器在 AppScan Enterprise (ASE) 作业中记录流量以用作探索数据。AppScan 流量记录器是用于管理流量记录器实例的系统。可按需创建流量记录器实例,以记录稍后将用于 DAST 扫描的流量。本文档描述如何设置和使用流量记录器。
概述
- 使用 AppScan 流量记录器,可以自动启动一个流量记录器实例。然后,从自动框架到 Web 应用程序的请求将在发送时由此流量记录器进行记录。流量以 HAR 格式保存在 .dast.config 文件中,您可以稍后上载该文件,以供 AppScan Enterprise (ASE) 用作扫描程序的探索数据。
- 还可通过流量记录器手动记录流量来创建 .dast.config 文件。
- 您也可以直接将自己的 HAR 文件上载到 ASE,而不使用流量记录器。
此图描述了 automated scan flow with AppScan® Enterprise。
典型工作流程
安装 AppScan 流量记录器
下载 Node.js 的一个当前版本(v14.14 或更高版本),并将其安装到计算机上。如果您的服务符合 FIPS,则必须使用符合 FIPS 的 Node.js 服务器。- Windows:将 TrafficRecorder.Windows.zip 解压缩到机器上的文件夹中。
Linux:解压缩 TrafficRecorder.Linux.zip
- 要覆盖用于运行流量记录器的缺省端口,请执行以下操作:在 Settings.json 中配置端口设置。
配置 AppScan 流量记录器
符合 FIPS 的方式
- 在流量记录器的根文件夹中找到 Settings.json 文件,并在文本编辑器中打开该文件。
- 找到 requireFips 设置 ,并将设置值从 false 更改为 true。
- 保存文件。
流量记录器连接
- 要为流量记录器设置其运行时使用的缺省端口,请执行以下操作:在 Settings.json 中配置端口设置。
- 您必须通过以下方式之一配置安全 (SSL) 连接:
方法 A:在
Settings.json
中配置您自己的 PEM 或 PKCS12 证书。PEM:
- PEM 证书需要两个文件(完整路径)
- 请注意根据需要对文件路径和密码中的字符进行转义,例如密码
abc!”123
将变为abc!\”123
(“ 符号被转义)
PKCS12:
- 在命令行中,运行:
.\Java\bin\java.exe -jar .\DastProxy.jar -sc "C:\Path\to\certificate.pfx"
- 出现提示时,请输入证书的密码,然后按 Enter。
一个通过使用 openssl 创建 PEM 证书的示例:
openssl req -newkey rsa:2048 -new -nodes -keyout key.pem -out csr.pem
openssl x509 -req -days 365 -in csr.pem -signkey key.pem -out server.crt
一个通过使用 openssl 将 PEM 证书转换为 PKCS12 证书的示例:
openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in server.crt
一个通过使用 Java 的 keygen 工具将 JKS 证书转换为 PKCS12 证书的示例:
keytool -importkeystore -srckeystore certificate.jks -srcstoretype JKS -destkeystore certificate.p12 -deststoretype PKCS12
方法 B:如果您没有证书,那么必须创建并使用自签名证书。请注意,此方法不太安全。
- 在命令行中,打开流量记录器根文件夹。
- 使用以下命令创建 Java 密钥库文件:
.\Java\bin\keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -validity 365 -keysize 2048
- 填写证书详细信息并使用密码进行保护,下一步将需要该密码。
- 使用以下命令从 Java 密钥库导入 PKCS12 证书:
.\Java\bin\keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.p12 -srcalias selfsigned -srcstoretype jks -deststoretype pkcs12
- 使用以下命令在 AppScan 流量记录器中使用生成的证书:
.\Java\bin\java.exe -jar .\DastProxy.jar -sc "keystore.p12"
根证书
如果您测试的应用程序使用的是 SSL (HTTPS),则 AppScan 流量记录器必须作为中间人来记录交流。为此,它必须具有根证书,以使用该证书对其与应用程序的通信进行签名。
- 在您的机器上安装 AppScan 流量记录器生成的证书:
- 使用 REST API 下载由 AppScan 流量记录器使用的自签名根认证中心作为 PEM 文件。
- 在用于“浏览”的浏览器上安装证书,或在需要的位置(取决于流量的来源)进行安装。
- 将您自己的根证书导入 AppScan 流量记录器。受支持的证书格式为 PKCS12(.P12、.PFX)、JKS:
- 打开命令行窗口,导航到流量记录器机器上的安装文件夹。
- 运行以下命令:
.\Java\bin\java -jar DastProxy.jar -irc [path to certificate file] -ircp [password]
注: 要查看所使用的全部命令,请运行 .\Java\bin\java -jar DastProxy.jar 命令。重要说明:由于证书将保存在流量记录器上,因此建议您使用专用测试证书。
- 在 StartProxy 命令中提供您自己的修订服务器证书(而不是根证书)。
设置不活动超时
如果在使用后未使用关闭命令关闭流量记录器实例,则该流量记录器实例将保持打开状态并在端口上侦听。如果流量记录器实例处于闲置状态达到预定义的时间,则会自动关闭。
流量记录器实例的缺省不活动超时为 60 分钟。您可以更改此值,方法是更改安装文件夹中保存的 Settings.json 文件中的 inactivityTimeoutInMinutes 值。
将流量加密
缺省情况下,不会加密流量文件 (.dast.config)。要将服务器配置为加密所有流量,请将安装文件夹中的 Settings.json 文件中的 "encryptDastConfig" 值更改为 "true"。
链接代理
如果需要定义多个链接在一起的代理,或者定义代理异常,请使用在安装文件夹中找到的链接代理规则文件 (proxy.chain)。文件包含使用说明。
启动/停止流量记录器
您只需启动流量记录器,或将其作为一项服务运行(如下)。请注意,不能并行执行这两种操作。
- 运行以下命令: node app.js [port]
其中 *port = 流量记录器在其上侦听 REST API 请求的端口。
- 如果在启动流量记录器时未定义该端口,则会使用 Settings.json 文件中设置的端口,如果该文件中未定义端口,则会使用端口 8383。
- 无需停止流量记录器。您可以任其永久运行。
作为 Windows 服务启动
要启动此服务,请运行以下命令:
node service.js --install
node service.js --start
其他服务命令
您可以通过运行 node service.js --help 命令来输出此列表
服务命令 | 描述 |
---|---|
--start | 启动服务 |
--stop | 停止服务 |
--install | 安装服务 |
--uninstall | 停止并卸载服务 |
--h | --help | 输出使用信息 |
停止 Windows 服务
要使用“Service”文件夹中的 service.js 可执行文件来停止流量记录器 Windows 服务,请运行以下命令:
node service.js --uninstall
使用 systemD 作为 Linux 服务启动
- 在 systemD 目录(通常为:/etc/systemd/system)下创建一个新文件。例如,sudo vim /etc/systemd/system/TrafficRecorder.service。 文件内容:
[Unit]
Description=Appscan TrafficRecorder
After=multi-user.target[Service]
ExecStart=[此处为节点的路径] [此处为 app.js 的路径]Restart=always
RestartSec=10StandardOutput=syslogStandardError=syslog
SyslogIdentifier=TrafficRecorder[Install]
WantedBy=multi-user.target
ExecStart 的示例:ExecStart= node /home/admin/Documents/TrafficRecorder.Linux.1.2.0/app.js
- 确保 app.js 和内部 Java 文件:/java/bin/java 具有“作为可执行文件运行”许可权。
- 使用以下命令重新装入 systemD 文件: sudo systemctl daemon-reload
- 使用以下命令启动服务: sudo systemctl start TrafficRecorder.service
- 您可以使用以下命令来检查状态: sudo systemctl status TrafficRecorder.service 注: 状态应显示为“活动:活动(正在运行)”
- 使用以下命令启用服务: sudo systemctl enable TrafficRecorder.service
停止 Linux 服务
- 使用以下命令停止服务: sudo systemctl stop TrafficRecorder.service
- 使用以下命令禁用服务: sudo systemctl disable TrafficRecorder.service
使用流量记录器
流量记录器启动后,您可以启动新的流量记录器实例,以记录您的应用程序的流量。
- 要启动流量记录器实例,请使用 REST API 请求:StartProxy
- 通过已定义的流量记录器端口将流量发送到要测试的应用程序。
- 完成后,发送 REST API 请求:StopProxy。
- 下载其中包含已记录的流量的 .dast.config 文件,方法是发送以下 REST API 请求:Traffic。这是 ZIP 文件,其中包含一个或多个 .har(HTTP 存档)文件。下载此文件时,会从 AppScan 流量记录器删除数据。
- 您可以借助 ASE REST API 使用 .dast.config 文件来更新现有作业的“浏览”数据。请参阅文档链接:https://<domain>:9443/ase/api/pages/apidocs.html。有关更多信息,请参阅流量记录器 API 命令部分。
流量记录器 API 命令
流量记录器启动后,您可以启动流量记录器实例,并将流量发送到应用程序。
文档
要在 Swagger 中查看完整 REST API 文档,请在浏览器中输入:https://<server>:<port>
所有命令都指向如下所示的端点:
https://[server]:[port]/automation/
server = 安装了流量记录器的机器的 IP 地址 (缺省为 localhost)
port = 流量记录器在其上进行侦听的端口
"StartProxy"
- URL:https://[server]:[port]/automation/StartProxy/<recordingPort>
- 请求类型:POST 或 GET(如果使用 chainedProxy、proxyCertificate 和 clientCertificate,则请求为 POST;否则,请求为 GET)
"StopProxy"
- URL:https://[server]:[port]/automation/StopProxy/<recordingPort>
- 请求类型:GET
"StopAllProxies"
停止所有正在运行的流量记录器实例。此命令将停止所有端口上的所有流量记录器实例,包括其他用户启动的流量记录器实例。
- URL:https://[server]:[port]/automation/StopAllProxies
- 请求类型:POST
"EncryptDastConfig"
- URL:https://[server]:[port]/automation/EncryptDastConfig
- 请求类型:POST
"DownloadEncryptedDast"
- URL:https://[server]:[port]/automation/DownloadEncryptedDastConfig/<uuid>
- 请求类型:GET
"Traffic"
- URL:https://[server]:[port]/automation/Traffic/<recordingPort>
- 请求类型:GET
"Certificate"
- URL:https://[server]:[port]/automation/Certificate
- 请求类型:GET