10大API安全測試工具
伴隨云計算、大數據、人工智能等技術的蓬勃發展,移動互聯網、物聯網產業加速創新,移動設備持有量不斷增加,Web應用、移動應用已融入生產生活的各個領域。在這一過程中,應用程序接口(Application Programming Interfaces,簡稱API)作為數據傳輸流轉的重要通道發揮著舉足輕重的作用。
API技術不僅是企業與客戶溝通的橋梁,還承擔著不同復雜系統、組織機構之間數據交互、傳輸的重任。許多大公司,尤其是那些擁有大量在線業務的公司,在其基礎架構中都嵌入了數百,甚至數千個API。
然而,在API技術帶來積極作用的同時,與其相關的數據安全問題也日益凸顯。如今,API已成為攻擊者最喜歡的目標之一,他們能夠破壞API,并將這些漏洞用于新目的,例如數據泄露或進一步滲透到目標網絡中。
根據網絡安全公司Akamai的安全研究,近75%的現代憑證攻擊都是針對易受攻擊的API。更糟糕的是,問題正變得越來越嚴重。Gartner研究報告顯示,到2022年,涉及API的漏洞將成為所有網絡安全類別中最常受到攻擊的媒介。
10大主流API檢測工具
API檢測作為一種用程序或工具來發送數據,同時驗收系統返回值的方法,是實現持續集成,并保持DevOps實踐的重要組成部分。一些API檢測工具旨在執行單一功能,例如映射特定Docker API配置不當的原因;其他一些工具則對整個網絡采取更全面的方法,幫助企業識別錯誤、漏洞和過多的權限。
下面就為大家介紹6款主流的商業API檢測平臺,以及4款免費或低成本的開源工具。
商業API檢測工具和平臺
01 APIsec
APIsec平臺就像一個針對API的滲透工具,可以在開發階段部署,同時對API進行編程。該平臺只需幾分鐘即可完成對正在構建應用程序的全面掃描,而且其結果完全可與過去需要數天或數周才能完成的老式滲透測試相媲美。此外,盡管很多工具都可以掃描腳本注入等典型攻擊的常見漏洞,但APIsec會對目標API的各個方面進行壓力測試,以確保從核心網絡到各個端點都能免受API代碼中漏洞的影響。
02 AppKnox
AppKnox能夠檢測所有可能導致API中斷或被破壞的常見問題,例如HTTP請求中的命令注入漏洞、跨站點跟蹤和SQL注入漏洞等。這包括對Web服務器、數據庫和服務器上所有與API交互的組件完整性分析。AppKnox先通過掃描定位API,用戶再選擇提交哪些API進行進一步檢測,最后再將結果提交給安全研究人員進行高級分析,這一過程通常需要三到五天。
03 Data Theorem API Secure
Data Theorem API Secure平臺旨在適應任何持續集成和持續交付/部署(CI/CD)環境,以在開發的每個階段和生產環境中為API提供持續的安全性。其分析器引擎不斷在網絡中搜索新的API,并可以快速識別未經授權的API或屬于組織“影子IT”(shadow IT)部分的API。
該分析器引擎能夠不斷學習有關API的最新漏洞,并不斷檢測受保護的資產。它適用于本地和云環境,以確保任何API都不會淪為最新威脅的受害者。為了保持CI/CD管道順暢,Data Theorem API Secure還提供自動修復能力,無需人工干預。
04 Postman
Postman作為構建安全API的完整協作平臺,能夠被數百萬在Windows、Linux和iOS環境中工作的開發人員使用。Postman為開發人員提供一套完整的API工具,以便在設計新API時使用,它還為企業或組織的后續代碼提供安全存儲庫,以確保新API從一開始就保持嚴格的安全性和組織標準。
當應用程序代碼偏離企業或組織的安全模板或包含潛在漏洞時,Postman還可以提供安全警告。這樣,問題就可以在API進入生產環境之前得到解決。更為關鍵的是,如果企業或組織不想編寫代碼,也可以通過Postman進行API測試。也就是說,對于那些不想在集成開發環境中使用代碼的初學者來說,Postman是其進行API檢測的最佳選擇之一。
05 Smartbear ReadyAPI
Smartbear ReadyAPI平臺可以導入幾乎任何規范或模式,以使用最流行的協議檢測API。大體來說,ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等,并且可以在API上線之前就在從開發到質量保證的任何環境中運行。ReadyAPI可以通過單擊執行API安全分析,并支持其他關鍵功能,例如查看API處理意外負載或使用量突然激增的能力。它還可以記錄實時API流量,并進行獨特環境的配置。
06 Synopsys API Scanner
Synopsys API Scanner除了安全測試之外,還將模糊測試作為其深度掃描和測試套件的一部分。Synopsys API Scanner模糊測試引擎向API發送數以千計的意外、無效或隨機輸入,以查看它們的行為方式,或者檢測它們在遇到諸如非常大的數字或奇數命令之類的事情時是否會崩潰。
Synopsys API Scanner還繪制了整個API的所有路徑和邏輯,包括適用的所有端點、參數、身份驗證和規范。這讓開發人員能夠清楚地了解API可以執行哪些功能。此外,它還清楚地說明了為什么API可能會受到意外行為或安全漏洞的影響。
開源API檢測工具
雖然開源工具通常無法提供與商業產品相同的支持服務,但因其免費和易用,受到用戶的廣泛認可,有經驗的開發人員可以輕松地部署,以支持或提高其API的安全性。根據開源社區數據,以下是一些較受歡迎的產品。
07 Astra
Astra主要專注于表述性狀態傳遞(REST)API,可以自動檢測并測試登錄&注銷功能(認證API),因此任何人都可以輕松將其集成到CI/CD管道中,并在開發周期的早期階段幫助檢測及修復安全漏洞。不過,Astra針對REST API的滲透測試則比較難實現,因為它們經常不斷變化。鑒于REST架構強調組件之間交互的可擴展性,隨著時間的推移保持REST API的安全性可能更具挑戰性。
08 crAPI
crAPI工具名字取得很糟糕,但它有效地執行了作為API包裝器的功能。它是少數可以連接到目標系統,并為根客戶端的默認處理程序集提供基本路徑的包裝器之一。crAPI無需創建任何新連接即可完成此操作,這使得高級API開發人員可以節省大量時間。
09 Apache JMeter
Apache JMeter用Java編寫,起初是作為Web應用程序的負載測試器,最近幾乎可用于任何應用程序、程序或API。它可以檢測靜態或動態資源的性能,也可以生成大量真實流量的模擬負載,以便開發人員了解API在壓力下的表現。
10 Taurus
Taurus提供一種將獨立API檢測程序轉變為連續測試的簡單方法。Taurus操作起來很簡單,企業或組織只需安裝它,創建一個配置文件就能讓檢測工具發揮作用。企業或組織還可以通過Taurus找到生成交互式報告的方法,以及創建更復雜的場景,設置標準以便企業或組織立即修復發現的問題。
總體來說,商業工具會提供更多的支持選項,可以通過云或作為一項服務進行遠程部署。不過,一些開源工具的表現同樣出色,得到了用戶社區的廣泛支持。企業可以根據自身需求、IT團隊的安全專業能力和預算進行抉擇。
