Web アプリケーションと API の探査方法

このトピックでは、AppScan によるテストの前にサイトを探査するために使用可能なさまざまな方法について説明しています。

サイトのスキャンは、最初に探査が行われ、次に収集されたデータに基づくテストが行われて実施されます。「探査データ」は、1 つ以上の探査方法を使用して収集することができます。どのケースでも、探査データが収集されると、AppScan を使用してテストが作成され、テスト・ステージ中にサイトに送信されます。
Web アプリケーションの探査 (ユーザー・インターフェースのあるサイト)
  • 多くのアプリケーションでは、AppScan がサイトをテストできるようにするために、開始 URL と認証の資格情報を提供するだけで十分です。
  • マニュアル探査: 必要な場合は、特定のユーザー入力によってのみ到達可能な領域にアクセスできるようにするために、AppScan を介してサイトを手動で探査できます。
  • マルチステップ操作: 最初に特定の順序で他のページにアクセスすることでのみ到達可能なページの場合は、AppScan のマルチステップ操作を記録して使用できます。
構成ウィザードではいくつかの手順でスキャンを構成して開始できますが、複雑なサイトの場合は、「構成」ダイアログ・ボックスでさらに多くの設定を微調整およびカスタマイズできます。
Web API の探査
AppScan は、Web API を探査するための主な方法を 3 つ用意しています。

  1. Postman コレクションのインポート

    DevOps プロセスの一部として API 要求の Postman コレクションを事前に記録している場合は、それをインポートしてスキャンの探査のステージとして使用できます。AppScan はコレクションを分析して使用し、サイトをテストします。参照 Postman コレクションを使用したスキャン

  2. OpenAPI 記述ファイルの使用
    • Web サービスの OpenAPI 記述ファイル (JSON または YAML 形式) がある場合は、それをスキャンの基礎として使用できます。AppScan は、記述に基づいて自動スキャンを開始します。OpenAPI 記述ファイルを使用したスキャンを参照してください。
    • または、Web API ウィザード拡張機能を使用してスキャンを構成し、サービスの使用に必要なマルチステップ・シーケンスを設定することもできます。
  3. 記録プロキシーの設定
    1. デバイス設定: サービスの探査に使用するデバイス (携帯電話やシミュレーターなど) の記録プロキシーとして AppScan を構成します。次に、AppScan は収集した探査データを分析し、適切なテストを送信します。
    2. 外部ツールによる記録: AppScan を使用して、Web API 機能テスターなどの外部ツールでトラフィックを記録することもできます。外部クライアントの使用を参照してください。
上記の方法のほかに、マニュアル探査または探査データのインポートも選択できます。いずれの場合も、AppScan に探査データを指定すると、自動的にサイトをテストし、レビューとトリアージに備えてスキャン結果を提示できます。