接到一個(gè)客戶項(xiàng)目，需要對報(bào)銷審批系統(tǒng)APP進(jìn)行安全漏洞檢測，我們技術(shù)人員到了現(xiàn)場之后才發(fā)現(xiàn)，客戶所在集團(tuán)網(wǎng)絡(luò)要求比較嚴(yán)格：

1、不允許wifi連接，只能使用個(gè)人手機(jī)熱點(diǎn)。

2、稍有異常鏈接和請求就會認(rèn)為有攻擊行為，客戶所在項(xiàng)目組就會被通報(bào)。

3、集團(tuán)內(nèi)網(wǎng)不能使用APP，但API請求可以發(fā)送給服務(wù)器，平臺只開放了APP的外網(wǎng)策略，內(nèi)網(wǎng)還需要部署網(wǎng)絡(luò)環(huán)境，不是一時(shí)半會可以解決的。

最后和客戶溝通了幾種方式，決定在客戶內(nèi)網(wǎng)進(jìn)行測試，不對APP軟件進(jìn)行操作，僅對APP的所有API接口進(jìn)行測試，這樣類似postman接口自動化工具就派上了用場。

APPSCAN也有postman菜單，前提是APPSCAN所在機(jī)器安裝了postman，該菜單才顯示

點(diǎn)擊掃描-手動探索-外部客戶端-postman菜單

點(diǎn)擊繼續(xù)按鈕

打開appscan記錄流量窗口，以及postman工具

使用項(xiàng)目組開發(fā)人員提供的報(bào)文規(guī)范文檔，安全工程師通過人工拼接GET URL和POST body數(shù)據(jù)，發(fā)送postman請求，appscan自動獲取對應(yīng)的請求連接

拼裝API接口，點(diǎn)擊發(fā)送按鈕

Appscan通過代理獲取API接口URL地址，所有接口全部抓取后，停止記錄后，APPSCAN自動分析鏈接，然后開始我們的安全漏洞檢測之旅。