WAF安全工具的下一个CI/CD支持是
流行的开源黑客工具gotestwaf已成为其评估类型的第一个实用程序API安全平台,黑帽子美国的与会者了解到。
发射2020年4月,安全测试工具模拟Owasp和API利用以测试Web应用程序防火墙(WAFS),NGWAFS,RASPS,WAAPS以及现在的API安全工beplay体育能用吗具的检测功能。
它支持REST,GraphQL,GRPC,beplay体育能用吗Websocket,肥皂,XMLRPC和Legacy API。
Wallarm的首席安全工程师Brandon Shope在攻击模拟期间的API规格中准确扫描OpenAPI扫描已被引入“因此您可以准确扫描API规格的定义”。
gotestwafGithub仓库explains how OpenAPI (formerly Swagger) file scans work, which OpenAPI features are supported, and how “instead of constructing requests that are simple in structure and send them to the URL specified at startup, GoTestWAF creates valid requests based on the application’s API description in the OpenAPI 3.0 format”.
瓦拉姆还展示了它的开源API防火墙在美国2022年的Black Hat USA上,其中包括一项新功能,该功能阻碍了代币和饼干。
更多攻击类型传入
同时,目前正在开发的其他新的gotestwaf功能是CI/CDShope表示,具有API和服务器模式的管道,并支持其他攻击类型,包括Java,Python和.NET序列化攻击。
GoTestWaf使用在HTTP请求的不同部分放置的编码有效载荷生成恶意请求。结果表明数量和百分比路径遍历,贝壳注射,跨站脚本((XSS),以及安全工具阻止的其他各种攻击类型。
有关的黑帽美国:log4j de-obfuscator ox4shell“急剧”减少分析时间
gotestwaf将扫描结果与modsec作为基准,Shope说,并将其呈现为“可读,格式良好的PDF”。Wallarm首席执行官Ivan Novikov将其描述为Shope演讲之前的“非常重要”的功能。
沃拉姆认为虚假负面因素和阳性的测试是无价的。WAFS’API安全公司表示,该声名狼藉的阳性率通常以测试假负率而占用用户。
社区有效载荷
在拉斯维加斯活动中,还突出了多个“嵌套”编码支持,使用YAML文件的无编码检查,Dockerization和社区有效载荷。
Novikov告诉《每日SWIG》,社区支持是该工具吸引力的重要因素。beplay2018官网社区测试案例安全情报搜索引擎漏洞团队的研究人员记录了“然后得到他人的支持”。
Novikov称,Gotestwaf已经“每周使用大约100次”,并在“每周约五家企业公司”的销售和营销电话中询问。
沃拉姆(Wallarm)推出了免费在线WAF测试仪上个月该工具。
