伴隨云計(jì)算,、大數(shù)據(jù),、人工智能等技術(shù)的蓬勃發(fā)展,,移動(dòng)互聯(lián)網(wǎng),、物聯(lián)網(wǎng)產(chǎn)業(yè)加速創(chuàng)新,,移動(dòng)設(shè)備持有量不斷增加,,Web應(yīng)用,、移動(dòng)應(yīng)用已融入生產(chǎn)生活的各個(gè)領(lǐng)域,。在這一過(guò)程中,,應(yīng)用程序接口(Application Programming Interfaces,,簡(jiǎn)稱API)作為數(shù)據(jù)傳輸流轉(zhuǎn)的重要通道發(fā)揮著舉足輕重的作用。
API技術(shù)不僅是企業(yè)與客戶溝通的橋梁,,還承擔(dān)著不同復(fù)雜系統(tǒng),、組織機(jī)構(gòu)之間數(shù)據(jù)交互、傳輸?shù)闹厝?。許多大公司,,尤其是那些擁有大量在線業(yè)務(wù)的公司,在其基礎(chǔ)架構(gòu)中都嵌入了數(shù)百,,甚至數(shù)千個(gè)API,。
然而,在API技術(shù)帶來(lái)積極作用的同時(shí),,與其相關(guān)的數(shù)據(jù)安全問(wèn)題也日益凸顯,。如今,API已成為攻擊者最喜歡的目標(biāo)之一,,他們能夠破壞API,,并將這些漏洞用于新目的,例如數(shù)據(jù)泄露或進(jìn)一步滲透到目標(biāo)網(wǎng)絡(luò)中,。
根據(jù)網(wǎng)絡(luò)安全公司Akamai的安全研究,,近75%的現(xiàn)代憑證攻擊都是針對(duì)易受攻擊的API。更糟糕的是,,問(wèn)題正變得越來(lái)越嚴(yán)重,。Gartner研究報(bào)告顯示,到2022年,,涉及API的漏洞將成為所有網(wǎng)絡(luò)安全類別中最常受到攻擊的媒介,。
10大主流API檢測(cè)工具
API檢測(cè)作為一種用程序或工具來(lái)發(fā)送數(shù)據(jù),同時(shí)驗(yàn)收系統(tǒng)返回值的方法,,是實(shí)現(xiàn)持續(xù)集成,,并保持DevOps實(shí)踐的重要組成部分。一些API檢測(cè)工具旨在執(zhí)行單一功能,,例如映射特定Docker API配置不當(dāng)?shù)脑?;其他一些工具則對(duì)整個(gè)網(wǎng)絡(luò)采取更全面的方法,,幫助企業(yè)識(shí)別錯(cuò)誤、漏洞和過(guò)多的權(quán)限,。
下面就為大家介紹6款主流的商業(yè)API檢測(cè)平臺(tái),,以及4款免費(fèi)或低成本的開(kāi)源工具,。
商業(yè)API檢測(cè)工具和平臺(tái)
01
APIsec
APIsec平臺(tái)就像一個(gè)針對(duì)API的滲透工具,,可以在開(kāi)發(fā)階段部署,同時(shí)對(duì)API進(jìn)行編程,。該平臺(tái)只需幾分鐘即可完成對(duì)正在構(gòu)建應(yīng)用程序的全面掃描,,而且其結(jié)果完全可與過(guò)去需要數(shù)天或數(shù)周才能完成的老式滲透測(cè)試相媲美。此外,,盡管很多工具都可以掃描腳本注入等典型攻擊的常見(jiàn)漏洞,,但APIsec會(huì)對(duì)目標(biāo)API的各個(gè)方面進(jìn)行壓力測(cè)試,以確保從核心網(wǎng)絡(luò)到各個(gè)端點(diǎn)都能免受API代碼中漏洞的影響,。
02
AppKnox
AppKnox能夠檢測(cè)所有可能導(dǎo)致API中斷或被破壞的常見(jiàn)問(wèn)題,,例如HTTP請(qǐng)求中的命令注入漏洞、跨站點(diǎn)跟蹤和SQL注入漏洞等,。這包括對(duì)Web服務(wù)器,、數(shù)據(jù)庫(kù)和服務(wù)器上所有與API交互的組件完整性分析。AppKnox先通過(guò)掃描定位API,,用戶再選擇提交哪些API進(jìn)行進(jìn)一步檢測(cè),,最后再將結(jié)果提交給安全研究人員進(jìn)行高級(jí)分析,這一過(guò)程通常需要三到五天,。
03
Data Theorem API Secure
Data Theorem API Secure平臺(tái)旨在適應(yīng)任何持續(xù)集成和持續(xù)交付/部署(CI/CD)環(huán)境,,以在開(kāi)發(fā)的每個(gè)階段和生產(chǎn)環(huán)境中為API提供持續(xù)的安全性。其分析器引擎不斷在網(wǎng)絡(luò)中搜索新的API,,并可以快速識(shí)別未經(jīng)授權(quán)的API或?qū)儆诮M織“影子IT”(shadow IT)部分的API,。
該分析器引擎能夠不斷學(xué)習(xí)有關(guān)API的最新漏洞,并不斷檢測(cè)受保護(hù)的資產(chǎn),。它適用于本地和云環(huán)境,,以確保任何API都不會(huì)淪為最新威脅的受害者。為了保持CI/CD管道順暢,,Data Theorem API Secure還提供自動(dòng)修復(fù)能力,,無(wú)需人工干預(yù)。
04
Postman
Postman作為構(gòu)建安全API的完整協(xié)作平臺(tái),,能夠被數(shù)百萬(wàn)在Windows,、Linux和iOS環(huán)境中工作的開(kāi)發(fā)人員使用。Postman為開(kāi)發(fā)人員提供一套完整的API工具,,以便在設(shè)計(jì)新API時(shí)使用,,它還為企業(yè)或組織的后續(xù)代碼提供安全存儲(chǔ)庫(kù),,以確保新API從一開(kāi)始就保持嚴(yán)格的安全性和組織標(biāo)準(zhǔn)。
當(dāng)應(yīng)用程序代碼偏離企業(yè)或組織的安全模板或包含潛在漏洞時(shí),,Postman還可以提供安全警告,。這樣,問(wèn)題就可以在API進(jìn)入生產(chǎn)環(huán)境之前得到解決,。更為關(guān)鍵的是,,如果企業(yè)或組織不想編寫代碼,也可以通過(guò)Postman進(jìn)行API測(cè)試,。也就是說(shuō),,對(duì)于那些不想在集成開(kāi)發(fā)環(huán)境中使用代碼的初學(xué)者來(lái)說(shuō),Postman是其進(jìn)行API檢測(cè)的最佳選擇之一,。
05
Smartbear ReadyAPI
Smartbear ReadyAPI平臺(tái)可以導(dǎo)入幾乎任何規(guī)范或模式,,以使用最流行的協(xié)議檢測(cè)API。大體來(lái)說(shuō),,ReadyAPI支持Git,、Docker、Jenkins,、Azure DevOps,、TeamCity等,并且可以在API上線之前就在從開(kāi)發(fā)到質(zhì)量保證的任何環(huán)境中運(yùn)行,。ReadyAPI可以通過(guò)單擊執(zhí)行API安全分析,,并支持其他關(guān)鍵功能,例如查看API處理意外負(fù)載或使用量突然激增的能力,。它還可以記錄實(shí)時(shí)API流量,,并進(jìn)行獨(dú)特環(huán)境的配置。
06
Synopsis API Scanner
Synopsis API Scanner除了安全測(cè)試之外,,還將模糊測(cè)試作為其深度掃描和測(cè)試套件的一部分,。Synopsis API Scanner模糊測(cè)試引擎向API發(fā)送數(shù)以千計(jì)的意外、無(wú)效或隨機(jī)輸入,,以查看它們的行為方式,,或者檢測(cè)它們?cè)谟龅街T如非常大的數(shù)字或奇數(shù)命令之類的事情時(shí)是否會(huì)崩潰。
Synopsis API Scanner還繪制了整個(gè)API的所有路徑和邏輯,,包括適用的所有端點(diǎn),、參數(shù)、身份驗(yàn)證和規(guī)范,。這讓開(kāi)發(fā)人員能夠清楚地了解API可以執(zhí)行哪些功能,。此外,它還清楚地說(shuō)明了為什么API可能會(huì)受到意外行為或安全漏洞的影響,。
開(kāi)源API檢測(cè)工具
雖然開(kāi)源工具通常無(wú)法提供與商業(yè)產(chǎn)品相同的支持服務(wù),,但因其免費(fèi)和易用,,受到用戶的廣泛認(rèn)可,有經(jīng)驗(yàn)的開(kāi)發(fā)人員可以輕松地部署,,以支持或提高其API的安全性,。根據(jù)開(kāi)源社區(qū)數(shù)據(jù),以下是一些較受歡迎的產(chǎn)品,。
07
Astra
Astra主要專注于表述性狀態(tài)傳遞(REST)API,,可以自動(dòng)檢測(cè)并測(cè)試登錄&注銷功能(認(rèn)證API),因此任何人都可以輕松將其集成到CI/CD管道中,,并在開(kāi)發(fā)周期的早期階段幫助檢測(cè)及修復(fù)安全漏洞,。不過(guò),,Astra針對(duì)REST API的滲透測(cè)試則比較難實(shí)現(xiàn),,因?yàn)樗鼈兘?jīng)常不斷變化。鑒于REST架構(gòu)強(qiáng)調(diào)組件之間交互的可擴(kuò)展性,,隨著時(shí)間的推移保持REST API的安全性可能更具挑戰(zhàn)性,。
08
crAPI
crAPI工具名字取得很糟糕,但它有效地執(zhí)行了作為API包裝器的功能,。它是少數(shù)可以連接到目標(biāo)系統(tǒng),,并為根客戶端的默認(rèn)處理程序集提供基本路徑的包裝器之一。crAPI無(wú)需創(chuàng)建任何新連接即可完成此操作,,這使得高級(jí)API開(kāi)發(fā)人員可以節(jié)省大量時(shí)間,。
09
Apache JMeter
Apache JMeter用Java編寫,起初是作為Web應(yīng)用程序的負(fù)載測(cè)試器,,最近幾乎可用于任何應(yīng)用程序,、程序或API。它可以檢測(cè)靜態(tài)或動(dòng)態(tài)資源的性能,,也可以生成大量真實(shí)流量的模擬負(fù)載,,以便開(kāi)發(fā)人員了解API在壓力下的表現(xiàn)。
10
Taurus
Taurus提供一種將獨(dú)立API檢測(cè)程序轉(zhuǎn)變?yōu)檫B續(xù)測(cè)試的簡(jiǎn)單方法,。Taurus操作起來(lái)很簡(jiǎn)單,,企業(yè)或組織只需安裝它,創(chuàng)建一個(gè)配置文件就能讓檢測(cè)工具發(fā)揮作用,。企業(yè)或組織還可以通過(guò)Taurus找到生成交互式報(bào)告的方法,,以及創(chuàng)建更復(fù)雜的場(chǎng)景,設(shè)置標(biāo)準(zhǔn)以便企業(yè)或組織立即修復(fù)發(fā)現(xiàn)的問(wèn)題,。
總體來(lái)說(shuō),,商業(yè)工具會(huì)提供更多的支持選項(xiàng),可以通過(guò)云或作為一項(xiàng)服務(wù)進(jìn)行遠(yuǎn)程部署,。不過(guò),,一些開(kāi)源工具的表現(xiàn)同樣出色,,得到了用戶社區(qū)的廣泛支持。企業(yè)可以根據(jù)自身需求,、IT團(tuán)隊(duì)的安全專業(yè)能力和預(yù)算進(jìn)行抉擇,。