如何使用 ADAC 建立 API 掃描

您可以從 AppScan Enterprise 中(可從中建立和執行 DAST 掃描),使用 ADAC 掃描 Web API。掃描 Web API 需要使用者手動輸入一些資訊,以顯示 AppScan Enterprise 如何使用 API。這可以透過使用「手動探索」區段來完成,您可以在其中使用外部用戶端(例如 Postman、SOAP 使用者介面或任何其他外部用戶端)來記錄流量,或者匯入先前記錄的流量檔案。

執行這項作業的原因和時機

已討論使用 ADAC 建立 API 掃描的基本步驟。

程序

  1. 在 AppScan Enterprise 的掃描檢視中,導覽到您要建立掃描的資料夾,並按一下建立
  2. 「建立資料夾項目」頁面中,選取「使用範本的工作」,然後選取掃描範本。
    「掃描範本」是預先定義的掃描配置。您可以載入一般掃描範本、另一個預先定義的範本,或是您先前儲存的範本。您稍後可以依照現行掃描的需要來調整配置。如需相關資訊,請參閱使用 AppScan Standard 掃描內容來根據範本建立掃描
    當您使用範本來建立掃描工作時,它會啟動 ADAC。
  3. 在 ADAC 中,完成下列步驟來配置掃描工作:
    1. 定義起始 URL
    2. 記錄登入序列
      如果您先前已記錄登入序列,請使用「匯入」 選項來使用已記錄的檔案,而非進行記錄。
    3. 使用外部用戶端記錄流量
      您也可以匯入先前記錄的 API 流量檔案。如需相關資訊,請參閱擷取及匯入資料流量資料
    4. 配置平台鑑別
    5. 配置工作內容
    6. 完成時,按一下建立工作並結束 ADAC
      掃描工作建立在 AppScan Enterprise 中(掃描檢視的掃描之下)。
  4. 掃描檢視中,選取掃描並按一下執行
    AppScan 會起始由以下項目組成的掃描:在「探索」階段,AppScan 會根據您上傳的流量來搜索 Web API 並建立測試。在「測試」階段,AppScan 會根據在「探索」階段收到的回覆來測試 Web API,以顯示漏洞並評估其嚴重性。

下一步

在掃描結果備妥之後,您可以在「結果」標籤上檢視報告。報告會顯示您的 Web API 的相關資訊,並且提供導覽至更多詳細資料的功能。您可以檢閱結果來評估 Web API 的安全狀態。另外,您也可能想執行下列動作:
  • 探索其餘連結
  • 檢閱補救作業
  • 列印報告
  • 檢閱掃描結果、修改掃描配置,然後再次掃描