AppScan是一款用于网络应用安全测试的工具,由IBM公司推出,可以帮助应用程序开发人员和安全测试人员找到应用程序存在的安全漏洞,减少被黑客攻击的风险。同时,AppScan也可以帮助开发人员在应用程序的开发过程中提高安全性。本文将介绍AppScan开发接口获取扫描结果的原理和详细过程。
一、AppScan简介
AppScan是一个基于Web界面的应用程序漏洞扫描工具,由IBM公司推出,为企业提供基于风险的应用程序安全解决方案。它可以对网站进行全面的漏洞扫描,并以易于阅读的报告形式提供结果,同时支持自动化测试、重复测试、自定义验证等功能。目前,AppScan已成为全球最先进的网站漏洞扫描器之一。
二、AppScan开发接口
AppScan可以通过API接口与其他系统进行整合,帮助开发人员检测和修复安全漏洞。AppScan支持三种API接口:
1. 手动API:可以在扫描期间实时获取扫描结果信息,包括漏洞和找到的URL。
2. 自动API:可以在扫描结束后获取整个扫描截面的漏洞报告,包括漏洞类型、严重程度、URL等信息。
3. 联机API:可以在扫描器运行期间检查扫描器状态、获取扫描任务、获取特定漏洞类型的漏洞列表等信息。
三、获取扫描程序结果流程
1. 步骤一:通过自动或者手动API开始扫描程序。
2. 步骤二:等待扫描程序完成,可以使用手动或自动API查看扫描结果。
3. 步骤三:如果需要自动化检验和修复,可以使用联机API进行检验和修复漏洞。
四、AppScan开发接口使用
1. 手动API使用:
a. 获取扫描任务Id:
```GET /api/scans```
b. 获取漏洞的URLS:
```
GET /api/scans/{ScanId}/issues
QUERY PARAMETERS:
pageSize: Number of issues per page (default=50 max=500)
pageNumber: Page number (default=1)
e.g. GET /api/scans/1234/issues?pageSize=200&pageNumber=2
```
2. 自动API使用:
a. 获取扫描结果:
```
GET /api/scans/{ScanId}/reports
QUERY PARAMETERS:
reportType: Report type (default = Vulnerability)
reportFormat: Report format (default = Json)
```
b. 获取指定漏洞类型的漏洞报告:
```
GET /api/scans/{ScanId}/vulnerabilities/{VulnerabilityId}/reports
QUERY PARAMETERS:
reportFormat: Report format (default = Json)
```
3. 联机API使用:
a. 获取扫描器状态:
```
GET /api/scanners/{ScannerId}/status
```
b. 获取扫描任务:
```
GET /api/scans/{ScanId}
QUERY PARAMETERS:
include: Designates additional details that should be included in response.
- details
- issues
- vulnerabilities
- actions
- targets
- configuration
```
c. 获取特定漏洞类型的漏洞列表:
```
GET/api/scans/{ScanId}/vulnerabilities?category={category}
```
以上是AppScan开发接口的详细介绍。通过API调用,我们可以从AppScan获取更详细的扫描结果,进行自动化的检验和修复。同时,开发人员可以根据自己的需要,灵活的整合AppScan和其他系统,以提高应用程序的安全性。