51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1480|回复: 0
打印 上一主题 下一主题

十款优秀API安全测试工具(上)

[复制链接]
  • TA的每日心情
    无聊
    5 天前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-2-9 10:12:45 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
    应用编程接口已成为攻击者钟爱的目标。本文所列工具和平台(无论商业还是开源)可帮助企业识别错误、漏洞和权限分配过大等问题。
      应用编程接口(API)是大多数现代程序和应用的关键部分。事实上,云部署和移动应用都非常依赖于API,如果不用API管理遍布各处的组件,云部署和移动应用都将成为泡影。许多大公司,尤其是那些拥有大量在线业务的公司,甚至在其基础设施中嵌入了成百上千个API。API的增长只会继续加速。
      API的巧妙之处在于,大多数API只是一小段代码,而且所有API在网络资源需求方面都很精简,几乎无感。更妙的是,API还很灵活,即使所交互或控制的程序发生变动,比如打上了补丁,API也能继续运行并执行其主要功能。
      但即使如此令人神往,API也存在自身的缺陷。因为可将API设计成能够执行几乎所有任务,无论是不断重复的单一功能,还是精妙控制各种程序或平台的高级操作,所以几乎没有任何标准来管理API的编写。绝大多数API都是独特的,很多企业就是根据需要不断创建新的API。这对安全团队来说可能是一场噩梦。
      攻击者看中API的另一方面是,很多API被赋予了过多的权限。即使只执行少数功能的API通常也具有几乎相当于管理员的权限。个中想法是:API那么小,能有多大害呢?黑客就不这么想了,他们会侵入API,然后利用这些权限/凭证搞事情,例如数据泄露,或者进一步渗透网络。根据安全公司阿卡迈进行的安全研究,近75%的现代凭证攻击针对缺乏防护的API。
      问题越来越严重。Gartner预测,2022年,所有网络安全类别中,涉及API的漏洞将成为最常见的攻击渠道。
      API测试工具成救星
      关键网络和程序组件被攻击者盯上就够糟糕的了,落到API身上,情况却更加糟心,因为API的创建根本没有标准可依。很多企业可能压根儿不知道自己使用了多少API,也不清楚这些API都在干些什么,或者拥有多高的权限级别,更遑论API里是否存在漏洞的问题了。
      安全行业和私人团体推出API测试工具和平台来帮助解决这些问题。一些测试工具旨在执行单一功能,例如锚定特定Docker API配置不当的原因。其他工具则对整个网络采取更全面的方法,搜索API,然后提供关于API功能的信息,给出API可能存在漏洞或权限过多问题的原因分析。
      目前有几个著名的商业API测试平台和大量免费或低成本的开源工具可供使用。商业工具通常具有更多的支持选项,并且可以通过云或者甚至作为服务进行远程部署。一些开源工具可能在功能上堪比商业工具,还具备来自工具研发用户社区的支持。具体选择何种工具取决于你的需求、公司IT团队的安全专业知识和你的预算。
      下面我们列出市面上几款顶级商业API测试工具及其主要功能,以及部分优秀的开源工具。
      商业API测试工具与平台
      APIsec
      APIsec可看作是针对API的渗透测试工具。很多工具可以扫描用于脚本注入等典型攻击的常见漏洞,但APIsec重在测试目标API的方方面面,确保从核心网络到访问核心网络的端点都免于遭受API代码漏洞影响。
      APIsec的一大优势是可以在API开发阶段就部署上。对构建过程中的应用执行全面扫描只需要几分钟,但其结果可媲美过去需要数天或数周才能完成的老式渗透测试。
      AppKnox
      AppKnox对购买并部署了其平台的用户助益良多。结合其易于使用的界面,AppKnox堪称没有大型安全团队专门负责API的公司的理想选择。AppKnox通过扫描定位在生产环境、端点或任何可能部署之处的API。定位后,用户可以选择API提交,进行进一步的测试。
      AppKnox测试所有可能导致API中断或被破坏的常见问题,例如HTTP请求命令注入漏洞、跨站跟踪和SQL注入漏洞。测试包括对Web服务器、数据库和服务器上与API交互的所有组件的完整分析。
      执行了API扫描后,用户可将其测试结果提交给人类安全研究员进行高级分析,高级分析过程通常需要三到五天。
      Data Theorem API Secure
      Data Theorem API Secure平台旨在适应任何持续集成和持续交付/部署(CI/CD)环境,从而在开发的每个阶段和生产环境中为API提供持续的安全。该分析器引擎会持续搜索网络,查找新的API,并快速识别未授权API或属于公司影子IT的那些API。
      分析器引擎会自动收集最新的涉API漏洞信息,并不断测试其保护范围内的资产。Data Theorem API Secure本地环境和云环境都适用,可以确保没有API会沦为最新威胁的受害者。为保持CI/CD过程清晰流畅,Data Theorem API Secure提供自动修复所发现问题的功能,无需人工干预。如此一来,只要能够适应高度自动化,企业就可以确保所用API可抵御最新的威胁。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-26 04:56 , Processed in 0.063693 second(s), 26 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表