Web 应用程序与 Web API

本主题说明了在 AppScan 测试站点之前可用于探索站点的不同方法。

扫描站点的过程是:首先探索站点,然后根据收集的数据来测试站点。可以通过一种或多种不同探索方法来收集“探索数据”。在所有情况下,一旦收集了探索数据,在测试阶段中个,AppScan 都将用于创建测试以及向站点发送测试。
探索 Web 应用程序(带有用户界面的站点)
  • 对许多应用程序而言,为 AppScan 提供起始 URL 和认证凭证就足以使其能够测试站点。
  • 手动探索:如果需要,您可以通过 AppScan 来手动探索站点,以便能够访问仅通过特定用户输入才能访问的区域。
  • 多步骤操作:对于只有先通过特定顺序访问其他页面才能访问的页面,您可以记录多步骤操作以供 AppScan 使用。
虽然通过使用配置向导,您可以只需几个步骤即可配置和启动扫描,但对于复杂站点,通过使用“配置对话框”,您可以微调和定制更多设置。
探索 Web API
AppScan 提供了三种方法来执行此操作。
  1. 可以将 AppScan 设置为用于探索服务的设备(例如移动电话或模拟器)的记录代理。这样,AppScan 就可以分析所收集到的“探索”数据,并发送相应的测试。还可以使用 AppScan 记录使用外部工具(如 Web API 功能测试仪)的流量。请参阅使用外部客户机
  2. 如果您已在 DevOps 期间预先录制针对 API 的请求的 Postman 集合,您可以导入它用作扫描的探索阶段。AppScan 将分析并使用该集合来测试站点。请参阅使用 Postman 集合扫描
  3. 如果 Web 服务具有 Open API 描述文件(JSON 或 YAML),则可以使用 Web API 向导扩展来配置扫描,以及使用该服务所需的多步骤序列。然后,AppScan 将自动对其进行扫描。
无论在哪种情况下,一旦您随探索数据一起提供 AppScan ,它就可以继续自动测试站点并显示扫描结果供复审和分类。