Postman コレクションを使用したスキャン

Web API への要求の Postman コレクションがある場合は、それをインポートして、スキャンの基礎として使用できます。

インポートの後、AppScan はコレクションを使用して独自の探査のステージを実行し、結果のデータを「ダッシュボード」ビューと「データ」ビューに表示します。AppScan をテスト・ステージに自動的に進めるか、スキャンを完了するか、後でテスト・ステージを開始するかを選択します。

AppScan デモ・テスト・サイトをスキャンするためのサンプルの Postman コレクションが AppScan インストールに含まれています。サンプル・ファイルを参照してください 。

短いビデオ・デモを表示するには、下のアイコンをクリックします。
前提条件:
  • Web API で許可が必要な場合、許可要求には、有効な資格情報 (API キー、基本認証、OAuth 2 リフレッシュ・トークン、またはその他の固定トークンとパスワード) が含まれている必要があります。許可要求はコレクションの最初の要求の 1 つである必要があります。デフォルトでは、AppScan は許可要求の最初の 7 つの要求を検査しますが、必要に応じて、「構成」>「詳細構成」>「Postman」でこれを増やすことができます。
    Limitation: プロンプト・ユーザーを使用する OAuth2 など、ユーザーがいる必要がある認証方式はサポートされていません。ただし、リフレッシュ・トークン (サービス・トークンとも呼ばれます) を使用するオフラインの付与タイプで OAuth2 を使用できます。
Postman コレクションをインポートするには、以下のようにします。
  1. AppScan が Web API にアクセスするためにカスタム・プロキシー設定が必要な場合は、最初に「構成」ダイアログ・ボックス >「通信およびプロキシー」>「プロキシー」>「カスタム・プロキシー」で構成します。詳しくは、通信およびプロキシーを参照してください。
  2. 以下のいずれかを実行します。
    • メニュー・バーから、「ファイル」>「インポート」>「Postman コレクション」をクリックします。
    • ホーム画面の「ファイルを開く」領域から、「Postman コレクションのインポート」をクリックします。
    「コレクションのインポート」ダイアログが開きます。
  3. 「Postman コレクション・ファイル」領域に、以下を入力します。
    • Postman コレクション・ファイル: JSON ファイルの完全な URL またはパス。
      重要: ファイル拡張子は .json でなければなりません
    • リンクされたファイル (オプション): コレクションに他のファイルへのリンクが含まれている場合は、それらすべてを単一の ZIP ファイルに含め、ここで選択する必要があります。@以下の条件が適用されます。
      • ファイル・パスは、絶対パスではなく、コレクションに対する相対パスである必要があります
      • ファイルは Postman コレクション・フォルダー内に配置する必要があります (サブ・フォルダーでもかまいません)。外部に配置することはできません
      • パスは Postman で使用されるパスと同じでなければなりません
    • Postman 環境ファイル (オプション): コレクションで環境変数を使用する場合は、Postman 環境の JSON ファイルへの完全な URL またはパスを指定する必要があります
    • Postman Globals ファイル (オプション): コレクションでグローバル変数を使用する場合は、Postman Globals の JSON ファイルへの完全な URL またはパスを指定する必要があります
  4. 「ドメイン」 領域で、スキャンに含めるすべてのドメインを追加します。各ドメインを、別々のテキスト・フィールドに入力します。以下の両方の形式が有効です。
    https://demo.testfire.net/
demo.testfire.net
    重要: リストされていないドメインはスキャンされません。
  5. 「スキャン・オプション」領域で、AppScan がファイルをインポートする際の処理方法について、以下の 2 つのオプションのいずれかを選択します。
    • 「インポートおよび探査のみ」: AppScan はファイルをアップロードし、独自の探査のステージを実行してから停止します。収集された探査データは、「ダッシュボード」ビューと「データ」ビューに表示されます。スキャンを完了する場合は、ツールバーから「フル・スキャンを続行」をクリックする必要があります。これにより、スキャンのテスト・ステージが実行されます。
    • 「インポートおよびフル・スキャン実行」: AppScan はファイルをアップロードし、内部探査のステージを実行してから、テスト・ステージを自動的に続行します。
  6. 「インポート」をクリックします。
  7. コレクションにログイン資格情報が含まれている場合は、「構成」>「ログイン管理」に移動し、緑色の「正常に構成されたログイン」アイコンを探して、ログインの詳細が検出されたことを確認します。ログインが検出されなかった場合は、Postman コレクション・スキャンのトラブルシューティングを参照してください。

複数のコレクションの使用

現在、スキャンごとにインポートできる Postman コレクションは 1 つのみです。

最初のコレクションと同じ構成を使用して 2 番目のコレクションをスキャンするには、以下のようにします。
  • 最初のコレクションを使用してスキャンを構成して保存した後、以下に進みます。「ファイル」>「現在の構成で新規スキャン」を選択し、2 番目のコレクションをインポートします。
同じ構成が必要ない場合は、単に 2 番目のコレクションの新規スキャンを作成します。