主页
參照
檢閱產品的參照資訊。
「資料夾瀏覽器」主題
進一步瞭解資料夾瀏覽器主題。
在「資料夾瀏覽器」中建立掃描
進一步瞭解如何在資料夾瀏覽器中建立掃描。
Web API 掃描
HCL AppScan Enterprise 是一個可擴充的企業解決方案，可讓組織管理其 Web 應用程式和 Web API 的應用程式安全程式。它具備尖端的方法和技術，可以識別安全漏洞，避免應用程式遭受網路攻擊的威脅。

參照
檢閱產品的參照資訊。
- 「配置精靈」主題
  進一步瞭解配置精靈主題。
- 「資料夾瀏覽器」主題
  進一步瞭解資料夾瀏覽器主題。
  - 搭配使用「資料夾瀏覽器」
    瞭解如何使用資料夾瀏覽器。
  - 在「資料夾瀏覽器」中建立掃描
    進一步瞭解如何在資料夾瀏覽器中建立掃描。
    - 使用 AppScan Enterprise 的掃描內容來建立 QuickScan 範本
      QuickScan 範本包含一個內容掃描工作或是匯入工作，再加上報告套件。在「資料夾」清單裡的「範本」資料夾中建立好掃描範本之後，它們會自動成為備妥的掃描範本，可供 QuickScan 使用者取用，也可供在「顯示資料夾瀏覽器」清單中開啟了 QuickScan 視圖的更進階使用者取用。當 QuickScan 使用者建立一項掃描時，系統會依據範本建立工作和報告套件，但只在針對該 QuickScan 使用者時，才會顯示為一項掃描。
    - 配置不含安全測試的基本掃描
      請利用這項作業，以最小的配置來配置基本掃描。此掃描將自動在 Web 應用程式中探索更多 URL 以進行測試。這個方法用於應用程式有很多靜態鏈結，並且不需與使用者頻繁互動。此掃描並不會針對安全問題進行測試，但可協助您開始探索網站，以判斷完整網站涵蓋面。
    - 使用 AppScan Enterprise 中的掃描內容來配置安全掃描
      安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境；在這兩個環境中，應用程式應該有相同的執行檔，您才能確知顯現的應用程式正在進行全面的測試。另外，安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中，以便在安全問題進入正式作業環境之前就能擷取。
    - 安全掃描如何運作
      安全掃描有兩個個別階段：「探索」和「測試」。
    - 安全測試工作流程
      配置安全掃描必須很小心，這樣它才能夠找到您 Web 應用程式中的所有 URL，並測試其中是否有漏洞。
    - Web API 掃描
      HCL AppScan Enterprise 是一個可擴充的企業解決方案，可讓組織管理其 Web 應用程式和 Web API 的應用程式安全程式。它具備尖端的方法和技術，可以識別安全漏洞，避免應用程式遭受網路攻擊的威脅。
      - 如何使用 ADAC 建立 API 掃描
        您可以從 AppScan Enterprise 中（可從中建立和執行 DAST 掃描），使用 ADAC 掃描 Web API。掃描 Web API 需要使用者手動輸入一些資訊，以顯示 AppScan Enterprise 如何使用 API。這可以透過使用「手動探索」區段來完成，您可以在其中使用外部用戶端（例如 Postman、SOAP 使用者介面或任何其他外部用戶端）來記錄流量，或者匯入先前記錄的流量檔案。
      - 如何使用 AppScan 資料流量記錄器，記錄 web API 的資料流量
        您可以使用透過「AppScan 資料流量記錄器」完成的記錄，來掃描 Web API。「AppScan 資料流量記錄器」可用來記錄資料流量，這類資料流量可以用作 AppScan Enterprise 工作中的探索資料。「AppScan 資料流量記錄器」是用於管理資料流量記錄器實例的系統。您可以依需求建立資料流量記錄器實例，以記錄稍後可在 DAST 掃描中使用的資料流量和登入序列。
      - 如何使用 Postman 集合來掃描
        如果您對 Web API 有要求的 Postman 集合，可以新增此集合並用作掃描基礎。AppScan 會使用集合來執行自己的「探索」階段，並在「儀表板」中顯示結果資料。
    - JavaScript™ 原始碼分析如何運作
      「JavaScript™ 安全分析器 (JSA)」執行靜態 JavaScript 原始碼分析，以偵測一系列用戶端問題，主要是 DOM 型跨網站 Scripting。JSA 會分析 AppScan® Enterprise 在「探索」階段期間所收集的 HTML 頁面。JSA 會在「測試」階段進行的同時執行，也可以隨時在現有的「探索」結果上手動啟動。
    - 以進階配置選項使掃描最佳化
      請利用這項作業，以複式配置來配置進階掃描。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式，或者您只想測試應用程式的特定區域，請使用此方法。
    - 擷取及匯入資料流量資料
    - 從 AppScan Standard 匯入動作型登入檔案
      AppScan Standard 中的動作型登入功能會在瀏覽器中產生使用者的實際動作，而不只是要求，並在瀏覽器中重播該序列。您可以在 AppScan Standard 中建立動作型登入並將它匯入 AppScan Enterprise 來運用這項功能，以協助避免在掃描期間發生離開階段作業事件。
    - 從 AppScan® Standard 匯入手動探索資料
      您可以將從 AppScan® Standard 7.x 版（以及更新版本）匯出的資料，匯入到 AppScan Enterprise。匯入這項資料可以節省時間，縮減重複作業。只會匯入來自 AppScan.exd 檔的 URL（參數及網域）和 HTTP 要求。
    - 匯入 AppScan® 資料，供報告使用
      匯入工作從資料檔取得結果，再將它整合到 AppScan® Enterprise Server 資料庫中。匯入的資料可用來建立報告和儀表板。另外，還可以與內容掃描工作的資料結合起來，建立您完整的問題圖像。
- 利用報告進行分類
  執行工作之後會自動產生報告。這些報告提供管理問題的方法，可協助您管理組織的重要問題，並且以 Enterprise Console 的工作流程及組織內其他程序的工作流程都支援的方式來執行這項作業。
- 配置管理程式

Web API 掃描

HCL AppScan Enterprise 是一個可擴充的企業解決方案，可讓組織管理其 Web 應用程式和 Web API 的應用程式安全程式。它具備尖端的方法和技術，可以識別安全漏洞，避免應用程式遭受網路攻擊的威脅。

HCL AppScan Enterprise Dynamic Analysis 引擎，使用與駭客使用的方法類似的技術，評估攻擊應用程式時之執行時期的應用程式安全。測試結果包括範圍從應用程式庫存到詳細攻擊資料流量的一組豐富資料，可以重新產生以進行驗證和修正。此資料可以在 UI 中檢查及處理，或者匯出為各種格式以便在其他工具中共用。

若要掃描 Web API，AppScan Enterprise 必須取得產生的 API 流量，並且使用此資料以自動化方式執行測試。

有幾種方式可以將 API 掃描資料提供給 AppScan Enterprise：

使用 AppScan Dynamic Analysis Client (ADAC) 記錄流量
- 使用 Postman 或 SoapUI 整合
- 使用任何其他外部用戶端
使用「AppScan 資料流量記錄器」記錄資料流量
使用 Postman 集合來掃描

您可以使用下列其中一個選項，將記錄的流量上傳至 AppScan Enterprise 掃描：

使用 ADAC 上傳流量
使用 REST API 建立掃描並上傳流量
使用 AppScan Standard 建立 API 掃描，然後在 AppScan Enterprise 中上傳檔案以進行掃描。請參閱使用外部用戶端記錄，以及從 AppScan Standard 匯入手動探索資料。

如要進一步了解如何使用不同方法來擷取及匯入流量，請參閱擷取及匯入資料流量資料。

建立 API 掃描時，如果您已具備網站鑑別，建議您提供登入序列記錄。

登入序列記錄可以利用與記錄流量類似的以下方法來完成：