您的API?它有问题
安全供应商Imperva已开源了与今年的自动API攻击工具黑帽欧洲安全会议。
该工具可以帮助确定应用程序编程接口(API)是否正确实现并安全地维护。
API越来越多地用于移动,物联网和云环境中,以促进服务器服务器和客户端服务器通信。
它们可以在服务之间进行沟通,从而使消费者可以进行日常活动,例如在线寻找便宜的航班或通过网络和移动应用程序预订酒店房间。beplay体育能用吗
然而,缺乏意识和对实施安全政策的关注,使API容易受到恶意行为者的攻击。
这促使开源beplay体育能用吗Web应用程序安全项目(OWASP)发布自己的API安全前10个列表帮助开发人员更好地保护在服务器之间传输的敏感信息。
定制的API攻击
API内部的安全问题部分是由于服务器的复杂性而产生的,该服务器的复杂性现在拥有越来越多的端点,这些端点通常很难验证功能和配置。
正是这些API漏洞 - 有效地实现了 - Imperva的高级软件工程师Boris Serebro旨在使用自动API攻击工具来规避。
Serebro解释说,虽然已经存在测试API的工具,但要求其用户手动调整每个端点并使用一组适当的数据测试每个情况。
Serebro说:“我必须解决的主要内容是采用API规范,无论它可能是什么,并生成尽可能多的请求,以测试其参数的各种端点。”
该解决方案还必须支持多个API规范,这可能是非常多样化的。OpenAPI规范。
通过解析API规范并基于该规范运行各种测试 - 该工具可以确定API是否安全。
Serebro说:“该工具将所有API端点定义考虑在内,并为其参数生成随机值,因此不需要手动工作。”
他补充说:“该工具以正值和负值测试API端点。”
开发自动API攻击工具存在一些挑战。
Serebro说:“由于当今的API规格主要是由代码生成的,因此我们必须克服一些生成器创建的Pandora框,例如参数定义之间的循环依赖性。”塞雷布罗说,希望该工具能够对确定API的需求有所了解。
他说:“也许有了这个工具,人们会看到他们没有想到的API中存在问题。”
API攻击工具是开源的,在Github上可用。Serebro说,该项目将不断维护。
你可能还喜欢OWASP揭示了API生态系统面临的十大安全威胁
