随着云计算、大数据、人工智能等技术的蓬勃发展,移动互联网、物联网产业加快创新,移动设备持有量不断增加,Web应用和移动应用已经融入到生产和生活的各个领域。在此过程中,应用程序界面(Application Programming Interfaces,简称API)作为数据传输流通的重要通道,它起着重要的作用。
API技术不仅是企业与客户沟通的桥梁,也承担着不同复杂系统和组织之间数据交互和传输的责任。许多大公司,特别是那些拥有大量在线业务的公司,嵌入了数百甚至数千个基础设施API。
然而,在API在技术带来积极作用的同时,据安全问题日益突出。API它已经成为攻击者最喜欢的目标之一,他们可以破坏它API,并将这些漏洞用于新目的,如数据泄露或进一步渗透到目标网络中。
根据网络安全公司Akamai近75%的现代凭证攻击安全研究是针对易受攻击的API。更糟糕的是,问题越来越严重。Gartner研究报告显示,到2022年,涉及API漏洞将成为所有网络安全类别中最常见的媒介。
十大主流API检测工具
API作为一种使用程序或工具发送数据和验收系统返回值的方法DevOps实践的重要组成部分。API测试工具旨在执行单一功能,如映射特定Docker API配置不当的原因;其他工具对整个网络采取更全面的方法,帮助企业识别错误、漏洞和过多的权限。
下面介绍6个主流商业API以及4种免费或低成本的开源工具。
商业API检测工具和平台
1. APIsec
APIsec平台就像针对API可在开发阶段部署渗透工具API编程。该平台只需几分钟就可以完成对正在构建的应用程序的全面扫描,其结果可以与过去几天或几周的旧渗透测试相媲美。此外,尽管许多工具可以扫描脚本注入等典型攻击的常见漏洞,但APIsec会对目标API在各个方面进行压力测试,以确保从核心网络到各个端点都能避免API代码中漏洞的影响。
2. AppKnox
AppKnox所有可能的检测都可能导致API中断或破坏的常见问题,如HTTP请求中的命令注入漏洞,跨网站跟踪和SQL注入漏洞等。这包括对Web所有服务器、数据库和服务器API分析交互组件的完整性。AppKnox先扫描定位API,用户选择提交什么API通常需要三到五天的时间提交给安全研究人员进行高级分析,通常需要三到五天。
3.Data Theorem API Secure
Data Theorem API Secure该平台旨在适应任何连续集成和连续交付/部署(CI/CD)环境,在开发的每个阶段和生产环境中API提供持续的安全性。其分析器引擎不断在网络上搜索新的API,能够快速识别未经授权的未经授权API或属于组织“影子IT”(shadow IT)部分的API。
该分析器引擎能够不断学习API最新漏洞,不断检测受保护资产。适用于当地和云环境,以确保任何API不会成为最新威胁的受害者。为了保持它CI/CD管道顺畅,Data Theorem API Secure无需人工干预,还提供自动修复能力。
4.Postman
Postman构建安全API数百万的完整合作平台Windows、Linux和iOS开发人员在环境中工作。Postman为开发人员提供一套完整的服务API为了设计新的工具API它还为企业或组织的后续代码提供安全存储库,以确保新的API从一开始就保持严格的安全性和组织标准。
当应用程序代码偏离企业或组织的安全模板或包含潜在漏洞时,Postman还可以提供安全警告。这样,问题就可以了API在进入生产环境之前。更重要的是,如果企业或组织不想编写代码,他们也可以通过Postman进行API测试。也就是说,对于不想在集成开发环境中使用代码的初学者来说,Postman是其进行API检测的最佳选择之一。
5.Smartbear ReadyAPI
Smartbear ReadyAPI使用最流行的协议检测,平台可以导入几乎任何规范或模式API。大体来说,ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等等,可以在API从开发到质量保证的任何环境在上线前运行。ReadyAPI可单击执行API支持其他关键功能,如检查API处理突然激增事故负载或使用量的能力。它还可以实时记录API流量,配置独特的环境。
6.Synopsis API Scanner
Synopsis API Scanner除安全测试外,模糊测试还被用作其深度扫描和测试套件的一部分。Synopsis API Scanner模糊测试引擎向API发送成千上万的事故、无效或随机输入,以查看他们的行为,或测试他们在遇到大数字或奇数命令时是否会崩溃。
Synopsis API Scanner还画了整个API所有路径和逻辑,包括所有适用的端点、参数、身份验证和规范。这使得开发人员能够清楚地理解API什么功能可以执行?此外,它还清楚地解释了为什么API可能受到事故或安全漏洞的影响。
开源API检测工具
虽然开源工具通常不能提供与商业产品相同的支持服务,但由于其免费和易于使用,经验丰富的开发人员可以轻松部署来支持或改进它们API安全。根据开源社区数据,以下是一些流行产品。
7. Astra
Astra主要专注于表述性状态传递(REST)API,可自动检测和测试登录&注销功能(认证)API),所以任何人都可以很容易地集成它CI/CD在开发周期的早期阶段,管道有助于检测和修复安全漏洞。Astra针对REST API由于它们经常不断变化,很难实现渗透测试。REST随着时间的推移,架构强调组件之间交互的可扩展性REST API安全可能更具挑战性。
8. crAPI
crAPI工具名称很差,但它被有效地执行了API包装器的功能。它是为根客户端默认处理程序集提供基本路径的包装器之一。crAPI这个操作可以完成,无需创建任何新的连接,这使得高级API开发人员可以节省很多时间。
9. Apache JMeter
Apache JMeter用Java写作,起初是作为Web最近几乎可以用于任何应用程序、程序或API。它可以检测静态或动态资源的性能,也可以产生大量的真实流量模拟负载,让开发人员了解API表现在压力下。
10. Taurus
Taurus为独立提供一种API将检测程序转化为简单的连续测试方法。Taurus操作非常简单,企业或组织只需要安装它,并创建一个配置文件来使检测工具发挥作用。企业或组织也可以通过Taurus找到生成交互式报告的方法,创建更复杂的场景,为企业或组织立即修复发现的问题设定标准。
总体来说,商业工具会提供更多的支持选项,可以通过云或作为一项服务进行远程部署。不过,一些开源工具的表现同样出色,得到了用户社区的广泛支持。企业可以根据自身需求、IT选择团队的安全专业能力和预算。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章