平台旨在教育安全专业人员有关确保现代网络API的挑战beplay体育能用吗
一种旨在模仿API的工具,并允许观察其行为,已释放到开源社区。
VAPI也被称为“脆弱的不利界面”,是一个漏洞练习和测试平台,旨在帮助用户了解API安全性。
API安全近年来已成为安全的关键领域。现在,API被广泛用于管理服务和数据传输,仅需一个损坏的端点即可导致数据泄露或企业网络妥协。
Gartner拥有预料到的今年,API攻击将成为企业Web应用程序最常见的攻击向量。beplay体育能用吗
脆弱的API
由开发Tushar Kulkarni,VAPI是Holm Security的安全工程师,是一个基于开源PHP的接口,可用在github上,可以通过PHP,MySQL和Postman作为自托管API操作,也可以作为Docker映像运行。
在向平台引入平台的同时黑帽欧洲2021库尔卡尼(Kulkarni)阿森纳(Arsenal)表示,VAPI对于新的渗透测试人员来说可能是有用的,可以使他们适应不同的API错误的分类,对于开发人员,该平台使他们可以看到易受伤害的代码的示例,并考虑潜在的缓解措施。
该平台的技术堆栈基于Laravelphp框架和mysql。邮政收集和环境用于存储API调用,尽管这最终是由于迁移到OpenAPI所致。
用于测试,中间的操纵器(MITM)可以使用诸如Burp Suite或ZAP之类的代理,尽管开发人员严格认为这并不是必需的。
Kulkarni指出:“某些API漏洞(例如]凭证填充物可能需要您作为入侵者或ZAP脚本来解决挑战,因此这些工具可能很有用。”
OWASP API TOP 10
反映了API安全的重要性,公开beplay体育能用吗Web应用程序安全项目(OWASP)基金会开发了第一个API安全前10个列表,其中记录了2019年最常见的安全事件的API相关原因。
截至目前,VAPI基于OWASP API Security TOP 10中使用的API分类。
Owasp的2019年列表文件以下原因:
- API1:2019损坏的对象级别授权:处理对象标识符的裸露端点
- API2:2019用户身份验证破裂:无法正确管理身份验证
- API3:2019数据暴露过多:包括对象属性暴露
- API4:2019缺乏资源和费率限制:对资源规模或数字没有限制,可能会降低性能并为蛮力攻击开辟道路
- API5:2019功能级别授权破裂:管理不善访问控件
- API6:2019大规模分配:滤波器故障,允许恶意对象修改
- API7:2019安全性错误配置:默认配置,错误和允许交叉原始资源共享
- API8:2019注射:包括SQL,NOSQL和指挥注射缺陷
- API9:2019资产管理不当
- API10:2019记录和监视不足
该平台现在是公开的,可以免费使用。VAPI路线图包括创建仪表板,以监视用户通过API挑战的进度,从长远来看,Kulkarni希望看到该平台成为一个“开源操场”,供用户提交自己的API安全挑战和场景。