使用 Postman 集合來掃描

如果您對 Web API 有要求的 Postman 集合,可以匯入並用作掃描基礎。

在匯入之後,AppScan 會使用集合來執行自己的「探索」階段,並在「儀表板」和「資料」視圖中顯示結果資料。您可以選擇 AppScan 是要自動繼續執行「測試」階段,還是要完成掃描,或是要稍後啟動「測試」階段。

AppScan 安裝中包含用於掃描 AppScan 示範測試網站的範例「Postman 集合」,請參閱 範例檔

若要觀看我們的短視訊示範,請按一下底下圖示:

必要條件:
  • 集合只能包含有效的要求。
  • 如果 Web API 需要授權,授權要求必須是集合中前幾個要求之一。依預設,AppScan 會檢查授權要求的前七個要求,但必要的話,可以在「配置 > 進階配置 > Postman」中增加此數目。
    Limitation: 不支援需要使用者互動的鑑別方法,例如「含提示使用者的 OAuth2」或其他 2FA。
若要匯入 Postman 集合,請執行下列動作:
  1. 如果 AppScan 需要自訂 Proxy 設定才能存取 Web API,請先在配置對話框 > 通訊與 Proxy > Proxy > 自訂 Proxy 中配置。如需詳細資料,請參閱通訊和 Proxy 視圖
  2. 請執行下列其中一項動作:
    • 從功能表列中,按一下檔案 > 匯入> Postman 集合
    • 從主畫面的開啟檔案區域中,按一下匯入 Postman 集合
    匯入集合對話框隨即開啟。
  3. Postman 集合檔案區域中,輸入下列內容:
    • Postman 集合檔案:JSON 檔案的完整 URL 或路徑。
      重要: 副檔名必須是 .json
    • 連結的檔案(選用):如果集合包含其他檔案的連結,您必須將其全部併入單一 ZIP 檔案中,然後在此處選取。以下為適用的條件:
      • 檔案路徑必須是集合的相對路徑,而不是絕對路徑
      • 檔案必須位於「Postman 集合」資料夾內(可以是子資料夾),而不是在資料夾之外
      • 路徑必須與 Postman 中使用的路徑相同
    • Postman 環境檔案(選用):如果您的集合使用環境變數,您必須提供 Postman 環境 JSON 檔案的完整 URL 或路徑。
    • Postman 全域檔案(選用):如果您的集合使用全域變數,您必須提供 Postman 全域 JSON 檔案的完整 URL 或路徑。
  4. 網域區域中 ,新增您要併入掃描的所有網域。在個別文字欄位中輸入每個網域。這兩種格式都有效:
    https://demo.testfire.net/
demo.testfire.net
    重要: 未列出的網域不會經過掃描。
  5. 掃描選項區域中,選取兩個選項之一,以瞭解 AppScan 在匯入檔案時應如何繼續執行:
    • 僅限匯入和探索: AppScan 會上傳檔案、執行自己的「探索」階段,然後停止。收集的「探索」資料會顯示在「儀表板」和「資料」視圖中。當想要完成掃描時,您必須從工具列中按一下繼續完整掃描,這會執行掃描的「測試」階段。
    • 匯入並執行完整掃描:AppScan 會上傳檔案、執行內部「探索」階段,然後自動繼續執行「測試」階段。
  6. 按一下匯入
  7. 如果您的集合包括登入認證,請移至配置 > 登入管理,然後尋找綠色「已成功配置登入」圖示,以確認偵測到登入詳細資料。

    如果偵測到登入,請參閱 Postman 集合掃描疑難排解

搭配使用多個集合

目前每次掃描只能匯入一個 Postman 集合。

如果要使用與第一個集合相同的配置來掃描第二個集合,請執行下列動作:
  • 配置及儲存第一個集合的掃描之後,請前往:檔案 > 從現行配置新建掃描,然後匯入第二個集合。
如果您不需要相同的配置,只要建立第二個集合的新掃描即可。