Postman コレクションを使用したスキャン

Web API への要求の Postman コレクションがある場合は、それをインポートして、スキャンの基礎として使用できます。

インポートの後、AppScan はコレクションを使用して独自の探査のステージを実行し、結果のデータを「ダッシュボード」ビューと「データ」ビューに表示します。AppScan をテスト・ステージに自動的に進めるか、スキャンを完了するか、後でテスト・ステージを開始するかを選択します。

AppScan デモ・テスト・サイトをスキャンするためのサンプルの Postman コレクションが AppScan インストールに含まれています。サンプル・ファイルを参照してください 。

前提条件:
  • Web API で許可が必要な場合、許可要求には、有効な資格情報 (API キー、基本認証、OAuth 2 リフレッシュ・トークン、またはその他の固定トークンとパスワード) が含まれている必要があります。許可要求はコレクションの最初の要求の 1 つである必要があります。デフォルトでは、AppScan は許可要求の最初の 7 つの要求を検査しますが、必要に応じて、「構成」>「詳細構成」>「Postman」でこれを増やすことができます。
    制限: プロンプト・ユーザーを使用する OAuth2 など、ユーザーがいる必要がある認証方式はサポートされていません。ただし、リフレッシュ・トークン (サービス・トークンとも呼ばれます) を使用するオフラインの付与タイプで OAuth2 を使用できます。
Postman コレクションをインポートするには、以下のようにします。
  1. AppScan が Web API にアクセスするためにカスタム・プロキシー設定が必要な場合は、最初に「構成」ダイアログ・ボックス >「通信およびプロキシー」>「プロキシー」>「カスタム・プロキシー」で構成します。詳しくは、通信およびプロキシーを参照してください。
  2. 「構成」 > 「API」に移動し、API タイプを選択します。「Postman コレクションの選択」をクリックして、Postman コレクションを追加します。
  3. 「Postman コレクション・ファイル」領域に、以下を入力します。
    • Postman コレクション・ファイル: JSON ファイルの完全な URL またはパス。
      重要: ファイル拡張子は .json でなければなりません
    • リンクされたファイル (オプション): コレクションに他のファイルへのリンクが含まれている場合は、それらすべてを単一の ZIP ファイルに含め、ここで選択する必要があります。以下の条件が適用されます。
      • ファイル・パスは、絶対パスではなく、コレクションに対する相対パスである必要があります
      • ファイルは Postman コレクション・フォルダー内に配置する必要があります (サブ・フォルダーでもかまいません)。外部に配置することはできません
      • パスは Postman で使用されるパスと同じでなければなりません
    • Postman 環境ファイル (オプション): コレクションで環境変数を使用する場合は、Postman 環境の JSON ファイルへの完全な URL またはパスを指定する必要があります
    • Postman Globals ファイル (オプション): コレクションでグローバル変数を使用する場合は、Postman Globals の JSON ファイルへの完全な URL またはパスを指定する必要があります
  4. 「ドメイン」 領域で、スキャンに含めるすべてのドメインを追加します。こうしたドメインを個別に追加することも、CSV ファイルを使用して複数のドメインを一度に追加することもできます。以下の両方の形式が有効です。
    https://demo.testfire.net/
demo.testfire.net
    重要: リストされていないドメインはスキャンされません。
  5. OpenAPI をスキャンしている場合は、OpenAPI 記述ファイル領域で有効な記述ファイルを入力して、スキャン範囲を改善するためのパラメーターを含めます。
  6. 「インポート」をクリックします。Postman コレクションがインポートされます。スキャンを実行して、Web API の脆弱性を検出します。
    注: 構成に Postman コレクションを追加すると、そのコレクションをテンプレートに含めることができなくなるため、そのコレクションを SCANT (テンプレート) ファイルとしてエクスポートすることはできません。そのコレクションを削除するか、SCAN ファイルとして保存する必要があります。
  7. コレクションにログイン資格情報が含まれている場合は、「構成」>「ログイン管理」に移動し、緑色の「正常に構成されたログイン」アイコンを探して、ログインの詳細が検出されたことを確認します。ログインが検出されなかった場合は、Postman コレクション・スキャンのトラブルシューティングを参照してください。

複数のコレクションの使用

現在、スキャンごとにインポートできる Postman コレクションは 1 つのみです。

最初のコレクションと同じ構成を使用して 2 番目のコレクションをスキャンするには、以下のようにします。
  • 最初のコレクションでスキャンを構成して保存したら、「ファイル」 > 「現在の構成からの新規スキャン」に移動し、2 番目のコレクションをインポートします。
同じ構成が必要ない場合は、単に 2 番目のコレクションの新規スキャンを作成します。