十款优秀API安全测试工具(下)
PostmanPostman完全具备作为API测试工具的资格,但其更为人所知的名号却是打造安全API的全套协作平台。数百万Windows、Linux和iOS开发人员使用Postman不是没有原因的。
Postman为开发人员提供了一整套API工具供设计新API使用,还为企业提供了安全的存储库,让企业可以放心存储逐渐累积的代码。使用安全存储库可以确保未来的API从一开始就保持严格的安全和组织标准。
Postman提供的工作区旨在帮助开发人员组织自身工作。如果应用代码开始偏离公司确立的安全模板或包含潜在漏洞,Postman还可以发出安全警告。这样就可以远早于问题进入生产环境之前防患于未然。
Smartbear ReadyAPI
除了安全测试之外,Smartbear ReadyAPI平台还旨在优化API在任何环境中的使用和性能。Smartbear ReadyAPI支持一键执行API安全分析,也还支持其他关键功能,例如查看API处理非预期负载或使用量突增的性能。
还可以配置ReadyAPI,令其生成API需处理的特定类型流量。ReadyAPI还可以记录实时API流量,以便校准未来的测试,针对将在其中运行的独特环境加以配置。此外,该平台可以导入几乎任何规范或模式,让用户可以使用最流行的协议测试API。本地ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等,且可早在API上线之前运行于从开发到质量保证的各个环境。
Synopsis API Scanner
Synopsis API Scanner之所以如此强大,其中一个原因就在于,除了安全测试之外,该工具还在其深度扫描与测试套件中融合了模糊测试。模糊测试引擎向API发送数以千计的非预期输入、无效输入或随机输入,查看这些API的行为方式,或者观察其在遇到超大数字或异常命令之类的事情时是否会崩溃。
该引擎还可绘制整个API的所有路径和逻辑,包括所有适用的端点、参数、认证和规范。使用该引擎,开发人员可以清楚地看到自己期望中API应该要执行的功能,与它们有时候实际执行的功能之间,存在哪些差异。这昭示了为什么API可能会受到意外行为或安全漏洞的影响。
开源API测试工具
尽管开源工具的支持通常不如商业产品,有经验的开发人员仍然可以很轻松地部署这些开源工具(往往是免费的),用来增强或改善其API的安全。下面我们例举几款在开源社区备受推崇的API安全测试工具。
Astra
Astra主要专注于表征状态转移(REST)API。这类API由于经常不断变化,极其难以维护安全。鉴于REST架构风格强调组件之间交互的可扩展性,随着时间的推移,保持REST API安全可能很具挑战性。Astra的效用在于帮助集成进CI/CD流水线,进行检查,确保常见漏洞不会蔓延到所谓的安全REST API中。
crAPI
crAPI是可以连接到目标系统并使用根客户端默认处理程序集提供基本路径的少数封装器之一,并且无需创建任何新连接即可完成此操作。高级API开发人员可以之节省大量时间。
Apache JMeter
Apache JMeter显然是用Java编写的,最初用作Web应用的负载测试器,但最近扩展到几乎可以用于任何应用、程序或API。Apache JMeter精巧的套件可以测试静态或动态资源的性能。它可以大量生成真实流量的模拟负载,供开发人员发现其API在压力下的表现。
Taurus
Taurus可以很方便地将独立API测试程序转换为连续测试操作。从表面上看,Taurus简单易用。安装好Taurus,创建一个配置文件,就可以让测试工具各司其职了。再深入了解一下,你可以找到生成交互式报告的方法,创建更复杂的场景来测试API,还可以设置故障标准,从而可以立即切入并修复发现的问题。
页:
[1]