接到一個客戶項目,需要對報銷審批系統(tǒng)APP進行安全漏洞檢測,我們技術(shù)人員到了現(xiàn)場之后才發(fā)現(xiàn),客戶所在集團網(wǎng)絡(luò)要求比較嚴格:
1、不允許wifi連接,只能使用個人手機熱點。
2、稍有異常鏈接和請求就會認為有攻擊行為,客戶所在項目組就會被通報。
3、集團內(nèi)網(wǎng)不能使用APP,但API請求可以發(fā)送給服務(wù)器,平臺只開放了APP的外網(wǎng)策略,內(nèi)網(wǎng)還需要部署網(wǎng)絡(luò)環(huán)境,不是一時半會可以解決的。
最后和客戶溝通了幾種方式,決定在客戶內(nèi)網(wǎng)進行測試,不對APP軟件進行操作,僅對APP的所有API接口進行測試,這樣類似postman接口自動化工具就派上了用場。
APPSCAN也有postman菜單,前提是APPSCAN所在機器安裝了postman,該菜單才顯示
點擊掃描-手動探索-外部客戶端-postman菜單
點擊繼續(xù)按鈕
打開appscan記錄流量窗口,以及postman工具
使用項目組開發(fā)人員提供的報文規(guī)范文檔,安全工程師通過人工拼接GET URL和POST body數(shù)據(jù),發(fā)送postman請求,appscan自動獲取對應(yīng)的請求連接
拼裝API接口,點擊發(fā)送按鈕
Appscan通過代理獲取API接口URL地址,所有接口全部抓取后,停止記錄后,APPSCAN自動分析鏈接,然后開始我們的安全漏洞檢測之旅。
