Chuyển tới nội dung chính

DAST API

Xem danh sách DAST API Integration

  • Tính năng DAST API Integration cho phép người dùng quản lý việc tích hợp và quét bảo mật DAST cho các API của organization/team. Người dùng có thể:

Xem danh sách Authentication Profile

Tạo, sửa Authentication Profile

Xác thực quyền sở hữu domain

Quản lý API Source (Add / Enable / Disable / Delete)

Lấy CI/CD Scan Script để tích hợp vào pipeline

Tính năng giúp đảm bảo việc quét API được kiểm soát, bảo mật và dễ dàng tích hợp vào quy trình CI/CD.

Bước 1. Từ menu chọn Integration để vào màn hình Integration Management. Sau đó, chọn API card (DAST Control group) của Organization/team.

Alt text

Bước 2. Hệ thống hiển thị màn hình DAST API Integration List

Alt text

Thông tin hiển thị của Authentication Profile:

Profile Name: Tên Authentication Profile

Domain Access: Domain được cấu hình

Access Key: Key dùng cho CI/CD (ẩn/mở hoặc reset được)

Ownership: Trạng thái xác thực domain

Added At: Thời gian tạo profile

Action: Thao tác tương ứng bao gồm Edit và Add API Source

Hệ thống hỗ trợ tìm theo Profile Name và Domain Access (Không phân biệt chữ hoa – chữ thường)

Tạo Authentication Profile

  • Authentication Profile là nơi lưu thông tin đăng nhập. API Source là hệ thống người dùng muốn scan. Người dùng cần tạo profile đăng nhập trước để hệ thống biết cách truy cập vào API đó.

  • Authentication Profile cho phép hệ thống DAST API sử dụng các thông tin xác thực (Query Parameters, Headers, Token, Cookie…) khi gửi request tới API của người dùng, nhằm đảm bảo quá trình scan diễn ra chính xác và đầy đủ.

Bước 1. Từ danh sách DAST API Integration, chọn nút Add Authentication Profile

Bước 2. Màn hình hiển thị popup Add Authentication Profile. Nhập thông tin profile

Alt text

  • Profile Name (Bắt buộc): Nhập tên Authentication Profile để dễ nhận diện

  • Domain Access (Bắt buộc): Nhập domain mà hệ thống được phép gửi request đến

  • Cấu hình Authentication: Authentication Profile hỗ trợ hai nhóm cấu hình chính:

Query Parameters (Không bắt buộc)

Dùng để truyền dữ liệu xác thực qua URL (sau dấu ?)

Nhấn + Add Parameter để thêm query parameter

Quy định:

Tối đa 5 query parameters

Mỗi parameter gồm: Key và Value

Các Key không được trùng nhau

Headers (Không bắt buộc)

Nhấn Add Header để thêm thông tin xác thực qua Header. Hệ thống hỗ trợ các loại Header sau:

Bearer Token
Chỉ được thêm 1 Bearer Token
Header Key mặc định: Authorization (không chỉnh sửa)
Giá trị Token: bắt buộc và nhập tối đa 2048 ký tự

Basic Auth
Chỉ được thêm 1 Basic Auth
Header Key mặc định: Authorization
Cần nhập: Username và Password (được mask và có icon view)

Cookie
Chỉ được thêm 1 Cookie
Key mặc định: Cookie
Cần nhập: Value

Custom Header
Có thể thêm tối đa 5 Custom Header
Mỗi header gồm: Key và Value
Các Key không được trùng nhau

Lưu ý:

Khi đã thêm Bearer Token hoặc Basic Auth, hệ thống sẽ disable lựa chọn còn lại

Khi đạt số lượng tối đa của từng loại header, option đó sẽ bị disable

Sau khi save:

Domain chưa từng verify -> Quay về màn hình DAST API Integration List và hiển thị profile được tạo với Cột Ownership hiển thị nút Verify Now

Domain đã verify -> Quay về màn hình DAST API Integration List và hiển thị profile được tạo với Cột Ownership hiển thị trạng thái Verified

Sửa Authentication Profile

Bước 1. Từ danh sách DAST API Integration, chọn nút Edit tại profile muốn chỉnh sửa

Bước 2. Màn hình hiển thị popup Edit Authentication Profile. Chỉnh sửa thông tin profile

  • Tương tự phần tạo authentication profile, ngoại trừ không cho phép sửa Domain Access.

Verify domain ownership

  • Tính năng Verify Domain Ownership cho phép người dùng xác thực quyền sở hữu root domain đã khai báo trong Authentication Profile. Việc xác thực này giúp hệ thống đảm bảo domain được quét thực sự thuộc quyền quản lý của người dùng, đồng thời kích hoạt các chức năng scan API DAST liên quan.

Bước 1. Trường hợp domain của profile chưa từng được verify, chọn nút Verify Now tại cột Ownership

Alt text

Bước 2. Hiển thị popup Verify Domain. Kiểm tra thông tin Domain

Alt text

  • Tại drawer Verify Domain Ownership, người dùng sẽ thấy các thông tin sau (chỉ xem, không chỉnh sửa):

Domain Access: Domain đã khai báo trong Profile Details

Domain Verification: Root domain được hệ thống tự động xác định từ Domain Access

Chọn phương thức xác thực (Verification Method). Người dùng chọn một trong hai phương thức xác thực sau:

Phương thức 1: DNS TXT Record (Mặc định)

Name: Tên TXT record (liên quan đến root domain)
Value: Chuỗi mã xác minh (verification token) do hệ thống sinh tự động.

Thao tác của người dùng:
Truy cập hệ thống quản lý DNS của domain -> Tạo một bản ghi TXT record với Name và Value được cung cấp -> Lưu thay đổi và chờ DNS cập nhật

Phương thức 2: HTML File Upload

File Name: Tên file .txt được sinh tự động
Content: Nội dung file xác minh
Upload Location: Đường dẫn upload file trên web server

Thao tác của người dùng:
Tạo một file .txt với File Name và Content được cung cấp -> Upload file này lên thư mục gốc (root directory) của web server theo đúng Upload Location

  • Sau khi hoàn tất cấu hình DNS hoặc upload file, nhấn nút Verify Now

  • Hệ thống bắt đầu quá trình xác thực domain ownership

Trường hợp xác thực thành công:

Thông báo verify thành công

Tự động quay lại màn hình DAST API Integration List

Trạng thái Ownership = Verified

Tất cả Authentication Profile có cùng root domain sẽ được cập nhật trạng thái Verified

Sinh Access Key

Trường hợp xác thực thất bại:

Thông báo verify thất bại

Người dùng vẫn ở lại popup để kiểm tra và thực hiện lại.

Xem danh sách API Source

Bước 1. Từ danh sách DAST API Integration, chọn icon Expand tại Authentication Profile

Alt text

Bước 2. Xem bảng danh sách API Source

Alt text

Thông tin hiển thị của API Source bao gồm:

Source Name: Tên API Source

API Document: Hiển thị Endpoint và Document URL hoặc file upload

Status: Trạng thái của API Source, bao gồm: Active và Inactive

Action: Thao tác tương ứng bao gồm Disable, Enable, Delete và View CI/CD scan script

Tạo API Source

  • Tính năng cho phép người dùng khai báo nguồn tài liệu API để hệ thống có thể thực hiện DAST API scan.

  • Authentication Profile đã xác thực domain thành công thì mới có thể tạo API Source.

Bước 1. Từ danh sách DAST API Integration, Tại dòng Authentication Profile đã verify domain ownership, chọn nút Add API Source.

Alt text

Bước 2. Hiển thị popup tạo API Source

Alt text

  • Nhập thông tin API Source:

Source Name: Nhập tên cho API Source.

Method: Người dùng chọn phương thức khai báo API Document là URL (mặc định) hoặc upload file

Document URL: Nhập đường dẫn đầy đủ tới file Swagger. Hiển thị trong trường hợp Method = URL

Upload File: Upload 01 file JSON Swagger. Hiển thị trong trường hợp Method = Upload file

Endpoint: Nhập endpoint thực tế mà client gọi

Parameter: Sau khi document URL hoặc file upload được parse thành công, hệ thống sẽ hiển thị các tham số required trong Swagger. Tham số bao gồm: Header, Path, Query

Whitelist IP: Hệ thống hiển thị danh sách IP cần whitelist để cho phép traffic scan. Người dùng thêm IP này vào Firewall / WAF của hệ thống.

Bước 3. Lưu thông tin API Source

  • Hệ thống kiểm tra và lưu thông tin API Source.

  • Sau khi lưu thành công, quay lại màn hình danh sách và hiển thị API Source trong danh sách

  • Ngoài ra hệ thống cũng cho phép Enable/Disable/Delete API Source

  • Hệ thống cũng hỗ trợ xem CI/CD Integration Scan Script bằng cách chọn View CI/CD Scan Script tại dòng API Source muốn xem script. Hệ thống sẽ hiển thị thông tin

Alt text

Cập nhật lần cuối vào bởi Dang Tran