接到一個客戶項目，需要對報銷審批系統APP進行安全漏洞檢測，我們技術人員到了現場之后才發現，客戶所在集團網絡要求比較嚴格：

1、不允許wifi連接，只能使用個人手機熱點。

2、稍有異常鏈接和請求就會認為有攻擊行為，客戶所在項目組就會被通報。

3、集團內網不能使用APP，但API請求可以發送給服務器，平臺只開放了APP的外網策略，內網還需要部署網絡環境，不是一時半會可以解決的。

最后和客戶溝通了幾種方式，決定在客戶內網進行測試，不對APP軟件進行操作，僅對APP的所有API接口進行測試，這樣類似postman接口自動化工具就派上了用場。

APPSCAN也有postman菜單，前提是APPSCAN所在機器安裝了postman，該菜單才顯示

點擊掃描-手動探索-外部客戶端-postman菜單

點擊繼續按鈕

打開appscan記錄流量窗口，以及postman工具

使用項目組開發人員提供的報文規范文檔，安全工程師通過人工拼接GET URL和POST body數據，發送postman請求，appscan自動獲取對應的請求連接

拼裝API接口，點擊發送按鈕

Appscan通過代理獲取API接口URL地址，所有接口全部抓取后，停止記錄后，APPSCAN自動分析鏈接，然后開始我們的安全漏洞檢測之旅。