侧边栏壁纸
  • 累计撰写 10 篇文章
  • 累计创建 9 个标签
  • 累计收到 4 条评论

目 录CONTENT

文章目录

十款顶级API安全测试工具

老七云运管002
2022-01-27 / 0 评论 / 0 点赞 / 560 阅读 / 3,497 字
温馨提示:
本文最后更新于 2022-02-05,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

​ 应用编程接口已成为攻击者钟爱的目标。本文所列工具和平台(无论商业还是开源)可帮助企业识别错误、漏洞和权限分配过大等问题。

  • 用编程接口(API)是大多数现代程序和应用的关键部分。事实上,云部署和移动应用都非常依赖于 API,如果不用 API 管理遍布各处的组件,云部署和移动应用都将成为泡影。许多大公司,尤其是那些拥有大量在线业务的公司,甚至在其基础设施中嵌入了成百上千个 API。API 的增长只会继续加速。

  • API 的巧妙之处在于,大多数 API 只是一小段代码,而且所有 API 在网络资源需求方面都很精简,几乎无感。更妙的是,API 还很灵活,即使所交互或控制的程序发生变动,比如打上了补丁,API 也能继续运行并执行其主要功能。

  • 但即使如此令人神往,API 也存在自身的缺陷。因为可将 API 设计成能够执行几乎所有任务,无论是不断重复的单一功能,还是精妙控制各种程序或平台的高级操作,所以几乎没有任何标准来管理 API 的编写。绝大多数 API 都是独特的,很多企业就是根据需要不断创建新的 API。这对安全团队来说可能是一场噩梦。

  • 攻击者看中 API 的另一方面是,很多 API 被赋予了过多的权限。即使只执行少数功能的 API 通常也具有几乎相当于管理员的权限。个中想法是:API 那么小,能有多大害呢?黑客就不这么想了,他们会侵入 API,然后利用这些权限 / 凭证搞事情,例如数据泄露,或者进一步渗透网络。根据安全公司阿卡迈进行的安全研究,近 75% 的现代凭证攻击针对缺乏防护的 API。

  • 问题越来越严重。Gartner 预测,2022 年,所有网络安全类别中,涉及 API 的漏洞将成为最常见的攻击渠道。

API 测试工具成救星

  • 关键网络和程序组件被攻击者盯上就够糟糕的了,落到 API 身上,情况却更加糟心,因为 API 的创建根本没有标准可依。很多企业可能压根儿不知道自己使用了多少 API,也不清楚这些 API 都在干些什么,或者拥有多高的权限级别,更遑论 API 里是否存在漏洞的问题了。

  • 安全行业和私人团体推出 API 测试工具和平台来帮助解决这些问题。一些测试工具旨在执行单一功能,例如锚定特定 Docker API 配置不当的原因。其他工具则对整个网络采取更全面的方法,搜索 API,然后提供关于 API 功能的信息,给出 API 可能存在漏洞或权限过多问题的原因分析。

  • 目前有几个著名的商业 API 测试平台和大量免费或低成本的开源工具可供使用。商业工具通常具有更多的支持选项,并且可以通过云或者甚至作为服务进行远程部署。一些开源工具可能在功能上堪比商业工具,还具备来自工具研发用户社区的支持。具体选择何种工具取决于你的需求、公司 IT 团队的安全专业知识和你的预算。

下面我们列出市面上几款顶级商业 API 测试工具及其主要功能,以及部分优秀的开源工具。

商业 API 测试工具与平台

APIsec

APIsec 可看作是针对 API 的渗透测试工具。很多工具可以扫描用于脚本注入等典型攻击的常见漏洞,但 APIsec 重在测试目标 API 的方方面面,确保从核心网络到访问核心网络的端点都免于遭受 API 代码漏洞影响。

APIsec 的一大优势是可以在 API 开发阶段就部署上。对构建过程中的应用执行全面扫描只需要几分钟,但其结果可媲美过去需要数天或数周才能完成的老式渗透测试。

AppKnox

AppKnox 对购买并部署了其平台的用户助益良多。结合其易于使用的界面,AppKnox 堪称没有大型安全团队专门负责 API 的公司的理想选择。AppKnox 通过扫描定位在生产环境、端点或任何可能部署之处的 API。定位后,用户可以选择 API 提交,进行进一步的测试。

AppKnox 测试所有可能导致 API 中断或被破坏的常见问题,例如 HTTP 请求命令注入漏洞、跨站跟踪和 SQL 注入漏洞。测试包括对 Web 服务器、数据库和服务器上与 API 交互的所有组件的完整分析。

执行了 API 扫描后,用户可将其测试结果提交给人类安全研究员进行高级分析,高级分析过程通常需要三到五天。

Data Theorem API Secure

Data Theorem API Secure 平台旨在适应任何持续集成和持续交付 / 部署(CI/CD)环境,从而在开发的每个阶段和生产环境中为 API 提供持续的安全。该分析器引擎会持续搜索网络,查找新的 API,并快速识别未授权 API 或属于公司影子 IT 的那些 API。

分析器引擎会自动收集最新的涉 API 漏洞信息,并不断测试其保护范围内的资产。Data Theorem API Secure 本地环境和云环境都适用,可以确保没有 API 会沦为最新威胁的受害者。为保持 CI/CD 过程清晰流畅,Data Theorem API Secure 提供自动修复所发现问题的功能,无需人工干预。如此一来,只要能够适应高度自动化,企业就可以确保所用 API 可抵御最新的威胁。

Postman

Postman 完全具备作为 API 测试工具的资格,但其更为人所知的名号却是打造安全 API 的全套协作平台。数百万 Windows、Linux 和 iOS 开发人员使用 Postman 不是没有原因的。

Postman 为开发人员提供了一整套 API 工具供设计新 API 使用,还为企业提供了安全的存储库,让企业可以放心存储逐渐累积的代码。使用安全存储库可以确保未来的 API 从一开始就保持严格的安全和组织标准。

Postman 提供的工作区旨在帮助开发人员组织自身工作。如果应用代码开始偏离公司确立的安全模板或包含潜在漏洞,Postman 还可以发出安全警告。这样就可以远早于问题进入生产环境之前防患于未然。

Smartbear ReadyAPI

除了安全测试之外,Smartbear ReadyAPI 平台还旨在优化 API 在任何环境中的使用和性能。Smartbear ReadyAPI 支持一键执行 API 安全分析,也还支持其他关键功能,例如查看 API 处理非预期负载或使用量突增的性能。

还可以配置 ReadyAPI,令其生成 API 需处理的特定类型流量。ReadyAPI 还可以记录实时 API 流量,以便校准未来的测试,针对将在其中运行的独特环境加以配置。此外,该平台可以导入几乎任何规范或模式,让用户可以使用最流行的协议测试 API。本地 ReadyAPI 支持 Git、Docker、Jenkins、Azure DevOps、TeamCity 等,且可早在 API 上线之前运行于从开发到质量保证的各个环境。

Synopsis API Scanner

Synopsis API Scanner 之所以如此强大,其中一个原因就在于,除了安全测试之外,该工具还在其深度扫描与测试套件中融合了模糊测试。模糊测试引擎向 API 发送数以千计的非预期输入、无效输入或随机输入,查看这些 API 的行为方式,或者观察其在遇到超大数字或异常命令之类的事情时是否会崩溃。

该引擎还可绘制整个 API 的所有路径和逻辑,包括所有适用的端点、参数、认证和规范。使用该引擎,开发人员可以清楚地看到自己期望中 API 应该要执行的功能,与它们有时候实际执行的功能之间,存在哪些差异。这昭示了为什么 API 可能会受到意外行为或安全漏洞的影响。

开源 API 测试工具

尽管开源工具的支持通常不如商业产品,有经验的开发人员仍然可以很轻松地部署这些开源工具(往往是免费的),用来增强或改善其 API 的安全。下面我们例举几款在开源社区备受推崇的 API 安全测试工具。

Astra

Astra 主要专注于表征状态转移(REST)API。这类 API 由于经常不断变化,极其难以维护安全。鉴于 REST 架构风格强调组件之间交互的可扩展性,随着时间的推移,保持 REST API 安全可能很具挑战性。Astra 的效用在于帮助集成进 CI/CD 流水线,进行检查,确保常见漏洞不会蔓延到所谓的安全 REST API 中。

crAPI

crAPI 是可以连接到目标系统并使用根客户端默认处理程序集提供基本路径的少数封装器之一,并且无需创建任何新连接即可完成此操作。高级 API 开发人员可以之节省大量时间。

Apache JMeter

Apache JMeter 显然是用 Java 编写的,最初用作 Web 应用的负载测试器,但最近扩展到几乎可以用于任何应用、程序或 API。Apache JMeter 精巧的套件可以测试静态或动态资源的性能。它可以大量生成真实流量的模拟负载,供开发人员发现其 API 在压力下的表现。

Taurus

Taurus 可以很方便地将独立 API 测试程序转换为连续测试操作。从表面上看,Taurus 简单易用。安装好 Taurus,创建一个配置文件,就可以让测试工具各司其职了。再深入了解一下,你可以找到生成交互式报告的方法,创建更复杂的场景来测试 API,还可以设置故障标准,从而可以立即切入并修复发现的问题。

0

评论区