Examen à l'aide d'une collection Postman

Si vous disposez d'une collection de demandes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen.

Après l'importation, AppScan exécute sa propre phase d'exploration à l'aide de la collection et affiche les données résultantes dans les vues Tableau de bord et Données. Vous pouvez choisir si AppScan poursuit automatiquement l'étape de test, pour terminer l'examen ou si vous préférez démarrer l'étape de test ultérieurement.

Un exemple de collection Postman pour examiner le site de test de démonstration AppScan est inclus dans l'installation d'AppScan, voir Fichiers exemple.

Pour voir notre courte démonstration vidéo, cliquez sur l'icône ci-dessous :
Conditions préalables :
  • Si l'API Web requiert une autorisation, la demande d'autorisation doit inclure des données d'identification valides (clé d'API, authentification de base, jeton d'actualisation OAuth 2 ou autre jeton et mots de passe fixes). La requête d'autorisation doit être l'une des premières requêtes de la collection. Par défaut, AppScan examine les sept premières requêtes pour la requête d'autorisation, mais si nécessaire, ce chiffre peut être augmenté dans Configuration > Configuration avancée > Postman.
    Limitation : Les méthodes d'authentification nécessitant la présence d'un utilisateur, telles que OAuth2 avec l'utilisateur invité, ne sont pas prises en charge. Toutefois, vous pouvez utiliser OAuth2 avec un type d'octroi hors ligne qui utilise un jeton d'actualisation (également appelé jeton de service).
Pour importer une collection Postman :
  1. Si des paramètres de proxy personnalisés sont nécessaires pour qu'AppScan accède à l'API Web, configurez-les d'abord dans la boîte de dialogue Configuration > Communication et proxy > Proxy > Proxy personnalisé. Pour plus d'informations, voir Communication et proxy.
  2. Effectuez l'une des opérations suivantes :
    • Dans la barre de menus, cliquez sur Fichier > Importer > Collection Postman.
    • Dans la zone Ouvrir le fichier de l'écran d'accueil, cliquez sur Importer la collection Postman.
    La boîte de dialogue Importer la collection s'ouvre.
  3. Dans la zone Fichiers de collection Postman, entrez ce qui suit :
    • Fichier de collection Postman : URL complète ou chemin d'accès complet au fichier JSON.
      Important : Le fichier d'extension doit être .json
    • Fichiers liés (facultatif) : Si la collection inclut des liens vers d'autres fichiers, vous devez les inclure tous dans un seul fichier ZIP et la sélectionner ici. Les conditions suivantes s'appliquent :
      • Les chemins d'accès aux fichiers doivent être relatifs à la collection et non absolus.
      • Les fichiers doivent se trouver dans le dossier Collection Postman (il peut s'agir d'un sous-dossier), et non en dehors de celui-ci.
      • Le chemin doit être identique au chemin utilisé dans Postman.
    • Fichier d'environnement Postman (facultatif) : Si votre collection utilise des variables d'environnement, vous devez fournir l'URL complète ou le chemin d'accès complet au fichier JSON de l'environnement Postman.
    • Fichier Globals Postman (facultatif) : Si votre collection utilise des variables globales, vous devez fournir l'URL complète ou le chemin d'accès complet au fichier JSON Globals Postman.
  4. Dans la zone Domaines, ajoutez tous les domaines que vous souhaitez inclure dans l'examen. Entrez chaque domaine dans une zone de texte distincte. Ces deux formats sont valides :
    https://demo.testfire.net/
demo.testfire.net
    Important : Les domaines non répertoriés ne seront pas examinés.
  5. Dans la zone Options d'examen, sélectionnez l'une des deux options suivantes pour savoir comment AppScan doit procéder lorsqu'il importe le fichier :
    • Importer et explorer uniquement : AppScan téléchargera le fichier, exécutera sa propre phase d'exploration, puis arrêtera. Les données d'exploration collectées s'afficheront dans les vues Tableau de bord et Données. Lorsque vous souhaitez terminer l'examen, vous devez cliquer sur Continuer l'examen complet dans la barre d'outils, qui exécutera l'étape de test de l'examen.
    • Importer et exécuter un examen complet : AppScan chargera le fichier, exécutera une phase d'exploration interne, puis continuera automatiquement avec l'étape de test.
  6. Cliquez sur Importer.
  7. Si votre collection inclut des données d'identification de connexion, accédez à Configuration > Gestion de la connexion et recherchez l'icône verte "Connexion correctement configurée" pour confirmer que les détails de connexion ont été détectés.Si la connexion n'a pas été détectée, voir Traitement des incidents liés à l’examen de collection Postman.

Utilisation de collections multiples

Actuellement, une seule collection Postman peut être importée par examen.

Pour examiner une deuxième collection à l'aide de la même configuration que la première :
  • Après avoir configuré et enregistré un examen avec votre première collection, accédez à : Fichier > Nouvel examen à partir de la configuration en cours et importez la deuxième collection.
Si vous n'avez pas besoin de la même configuration, créez simplement un examen pour la deuxième collection.