如何使用 Postman 集合进行扫描

如果您有针对 Web API 的请求的 Postman 集合,那么您可以添加此集合并将其用作扫描的基础。AppScan 会使用该集合运行自己的探索阶段,并在“仪表板”中显示生成的数据。

您可以通过以下方式使用 Postman 集合来创建和运行扫描作业:
注:
  • 添加 Postman 集合的方法不适用于内容扫描作业。
  • 您无法使用 ADAC 创建或编辑 Postman 集合扫描作业。

在 AppScan Enterprise 中使用 AppScan Standard 扫描作业

您可以使用 AppScan Standard 将 Postman 集合导入扫描作业,然后在 AppScan Enterprise 中复制此作业。

请遵循以下步骤在扫描作业中使用集合:
  1. 在 AppScan Standard 中,使用导入 Postman 集合选项创建扫描作业。有关更多信息,请参阅使用 Postman 集合扫描
  2. 在菜单栏上,单击 AppScan Connect > AppScan Connect 登录。配置 AppScan Enterprise 登录信息:
    1. 要通过用户标识和密码登录:
      1. 选择通过用户标识和密码登录
      2. 在 URL 字段中,输入 AppScan Enterprise 服务器的 URL。

        格式:https://[AppScan Enterprise Server]:[Server port]/ase

      3. 输入有效用户标识(格式为 [domain name]\[username])和密码。
      4. 单击登录
    2. 要使用客户机端证书或智能卡登录:
      1. 选择使用客户机端证书/智能卡登录
      2. 在 URL 字段中,输入 AppScan Enterprise 服务器的 URL。

        格式:https://[AppScan Enterprise Server]:[Server port]/ase

      3. 选择所需证书的复选框。
      4. 单击登录注意:如果需要智能卡 PIN 代码登录,您可以打开对话框输入。

      成功登录后,关闭 AppScan Connect 窗口。

  3. 在菜单栏上,单击 AppScan Connect > 在 AppScan Enterprise 中创建扫描
  4. 定义“作业名”以及(可选)AppScan Enterprise“文件夹”、“应用程序”和“测试策略”。
    注:
    • 如果您不选择文件夹,那么将使用缺省 AppScan Enterprise 文件夹。
    • “选择应用程序”对话框包含在服务器上新建应用程序选项(如果您的许可权允许执行此操作)。
  5. 缺省情况下,继续完全扫描选项处于选中状态。
    注: 在 AppScan Enterprise 中,无论您选择什么选项,系统都会将“完全扫描”选项应用于作业。
  6. 单击创建。该过程完成后,对话框中将显示绿色的成功消息。
  7. 单击 AppScan Enterprise 作业链接,在 AppScan Enterprise 中查看和运行作业。

使用 AppScan Enterprise API

您可以使用 AppScan Enterprise REST API 来创建扫描作业,添加 Postman 集合,然后运行该作业。

请遵循以下步骤在扫描作业中使用集合:
  1. 使用以下任一 API 创建扫描作业。
    1. POST /jobs/{templateId}/dastconfig/createjob
    2. POST /jobs
    3. POST /jobs/createjobBasedOnTemplateFile
      注: 创建扫描作业时,建议选择“常规”模板以避免出现任何性能问题。
  2. 使用 API 将 Postman 集合添加到作业:POST /jobs/{jobId}/dastconfig/postman/create
  3. 使用 API 运行扫描作业:POST /jobs/{jobId}/actions
    注: 使用 API 创建作业后,可以从 AppScan Enterprise 的“扫描”视图查看和运行这些扫描作业。

有关更多信息,请参阅使用 Postman 集合进行 API 扫描一文。要获取有关 API 和要使用的参数的其他信息,请参阅 Swagger 页面。