WebInspect API Kullanımı

tarafından
1209
WebInspect API Kullanımı

Micro Focus WebInspect ürünü, web uygulamalarında açıklık tespiti için en çok kullanılan yazılımlardan biridir. Bu yazılım ile web uygulama taramaları 2 farklı şekilde gerçekleştirilebilir:

  • WebInspect Kullanıcı Arayüzü
  • WebInspect API

Bu yazıda API üzerinden taramaların başlatılması, listelenmesi, tarama durumunun kontrolü gibi bazı temel işlemlerin nasıl yapılacağından bahsedeceğiz.

API Ayarlarının Yapılması

1. API ayarlarının yapılması için Başlat çubuğundan Fortify Fortify WebInspect Micro Focus Fortify Monitor tıklanır.

2. Taskbar’dan Fortify Monitor ikonuna sağ tıklanır ve Configure WebInspect API tıklanır.

3. Port, Authentication, Log Level bilgileri ayarlanır. Default kullanım için bu ayarlar default bir şekilde bırakılabilir. Bu durumda API erişimi kimlik doğrulamasız ve clear text olarak yapılacaktır.

4. Start tıklanarak API servisi çalıştırılır.

5. API ile ilgili geliştirmelerin yapılabildiği ve API işlemlerinin listelenebildiği Swagger web sayfası otomatik olarak açılacaktır. Eğer web sayfası otomatik olarak açılmadıysa herhangi bir browserdan aşağıdaki link açılır.

http://<IP>:8083/webinspect/swagger/ui/index

6. Aşağıdaki gibi swagger sayfası açılacaktır.

API servisi ayarlandıktan sonra diğer işlemlere geçilebilir.

Yeni Tarama Başlatma Adımları

1. Swagger sayfasında Scanner tıklanır. Scanner’a tıklandığında pekçok API işlemi listelenecektir.

2. Yeni tarama başlatmak için POST /scanner/scans işlemi kullanılır. Bu alana tıklandığında aşağıdaki kısımlar açılacaktır.

Implementation Notes: yeni bir tarama başlatma ile ilgili detaylı yardımcı bilgiler içermektedir.

Examples: örnek api sorguları listelenmektedir.

Parameters: taramada kullanılabilecek olan parametreler listelenmektedir.

Bu parametreler kullanılarak tarama başlatmak için Parameters alanının altında yer alan Try it out! tıklanır.

3. Örnek bir tarama için aşağıdaki parametreleri kullanacağız:

{ “settingsName”: “Default”, “overrides”:

{ “scanName”: “Test Scan”,”startUrls”:

[“http://zero.webappsecurity.com/”]

}

}

4. Bu parametrelerle Try it out! tıklandığında taramayı başlatarak ScanId bilgisi verecektir. Bu tarama ile ilgili diğer işlemler bu ScanId ile yapılabilir.

Taramaların Listelenmesi

Taramaları listelemek için GET /Scanner/Scans işlemi kullanılmaktadır.

Try it out! tıklandığında tarama listesi listelenebilir. Dönen sonuçlarda Curl ile bu işlemin nasıl yapılacağı bilgisi de bulunmaktadır.

Tarama Durumunun Listelenmesi

Tarama durumunu listelemek için GET /scanners/scans/{scanId} işlemi kullanılabilir.

ScanId ilgili kısma girilerek Try it out! tıklandığında, taramanın durumu görülebilir.

Mevcut Tarama ile İlgili Log Bilgisi

Tarama ile ilgili log bilgisine erişim için GET /scanner/scans/{scanId}/log işlemi kullanılabilir.

Parameters kısmında ScanId girilerek Try it out! tıklandığında o taramaya ilişkin log bilgisi görüntülenecektir.

Bu temel işlemlerle birlikte API üzerinden ileri düzey işlemler yapılabilmekte, tarama raporları çekilebilmekte, ileri düzey taramalar ayarlanabilmektedir. Swagger sayfası kullanılarak API Call’lar üretilerek, scripting ile otomatize taramalar gerçekleştirilebilir.