APPSCAN+PostMan对API接口进行安全漏洞检测

接到一个客户项目，需要对报销审批系统APP进行安全漏洞检测，我们技术人员到了现场之后才发现，客户所在集团网络要求比较严格：

1、不允许wifi连接，只能使用个人手机热点。

2、稍有异常链接和请求就会认为有攻击行为，客户所在项目组就会被通报。

3、集团内网不能使用APP，但API请求可以发送给服务器，平台只开放了APP的外网策略，内网还需要部署网络环境，不是一时半会可以解决的。

最后和客户沟通了几种方式，决定在客户内网进行测试，不对APP软件进行操作，仅对APP的所有API接口进行测试，这样类似postman接口自动化工具就派上了用场。

APPSCAN也有postman菜单，前提是APPSCAN所在机器安装了postman，该菜单才显示

点击扫描-手动探索-外部客户端-postman菜单

点击继续按钮

打开appscan记录流量窗口，以及postman工具

使用项目组开发人员提供的报文规范文档，安全工程师通过人工拼接GET URL和POST body数据，发送postman请求，appscan自动获取对应的请求连接

拼装API接口，点击发送按钮

Appscan通过代理获取API接口URL地址，所有接口全部抓取后，停止记录后，APPSCAN自动分析链接，然后开始我们的安全漏洞检测之旅。