APPSCAN+PostMan对API接口进行安全漏洞检测
更新时间:2022-06-19 16:53:29 点击次数:1689
接到一个客户项目,需要对报销审批系统APP进行安全漏洞检测,我们技术人员到了现场之后才发现,客户所在集团网络要求比较严格:
1、不允许wifi连接,只能使用个人手机热点。
2、稍有异常链接和请求就会认为有攻击行为,客户所在项目组就会被通报。
3、集团内网不能使用APP,但API请求可以发送给服务器,平台只开放了APP的外网策略,内网还需要部署网络环境,不是一时半会可以解决的。
最后和客户沟通了几种方式,决定在客户内网进行测试,不对APP软件进行操作,仅对APP的所有API接口进行测试,这样类似postman接口自动化工具就派上了用场。
APPSCAN也有postman菜单,前提是APPSCAN所在机器安装了postman,该菜单才显示
点击扫描-手动探索-外部客户端-postman菜单
点击继续按钮
打开appscan记录流量窗口,以及postman工具
使用项目组开发人员提供的报文规范文档,安全工程师通过人工拼接GET URL和POST body数据,发送postman请求,appscan自动获取对应的请求连接
拼装API接口,点击发送按钮
Appscan通过代理获取API接口URL地址,所有接口全部抓取后,停止记录后,APPSCAN自动分析链接,然后开始我们的安全漏洞检测之旅。
