API渗透测试

了解您的API是安全的

API现在是几乎每个应用程序开发项目的重要组成部分,包括Web应用程序和移动应用程序。但由于API的使用量增加,特别是来自第三方来源(Google地图API,Facebook Graph API,LinkedIn REST API等),开发人员通常挑战证明他们的API和整体Web应用程序是安全的。

随着时间的推移,更新API可能困难且耗时,以修补已知的漏洞。此外,您可能不知道您已部署的API是否已由原始开发人员妥善测试安全性。

因此,API构成大多数Web应用程序中最大的攻击表面之一 - 以及更加难以进行修复的漏洞之一。

利用枢轴点安全的API渗透测试服务的开发人员可以有效且有效地证明他们的API是安全的来自已知/常见漏洞,例如跨站点脚本(XSS)漏洞,注入缺陷,认证缺陷等。此类测试水平也是如此提供有关如何关闭任何安全差距的宝贵指导。

为什么API渗透测试?

使用API​​构建和操作应用程序的好处无法传递:

  • 节约成本
  • 减少开发时间
  • 一致,可靠的性能
  • 简化维护

API渗透测试的目标是最大限度地提高API,同时识别和修复它们所施加的重大风险。

API渗透测试常见问题解答

问:API渗透测试寻找什么?

- 答:在API渗透测试中,测试仪使用大多数自动化工具(并且可能还检查源代码)来锻炼API函数调用,以查看API调用是否容易受到已知攻击的攻击,例如文档中的已知攻击OWASP前10个Web应用程序安全风险。尝试绕过经常利用API的认证方法尤为重要。访问控制漏洞(例如,身体)也是一个关键的焦点。 XML攻击向量和通用API安全性错误配置也是关键。

问:API渗透测试可以防止什么?

答:当Web应用程序受到损害时,结果可以包括数据漏洞,数据exfiltration,欺诈,客户帐户收购,受损控制系统,令人尴尬的性能问题和公开的应用程序代码或业务逻辑。根据数据和/或系统的损害,金融和声誉损害可能是大规模的,特别是与测试成本有关。

问:在开发周期中的哪些点我们应该测试我们的API吗?

答:您可以随时测试API,越快越好。与旨在在启动之前验证Web应用程序的整体安全性的“最终”应用程序渗透测试不同,您越早了解API中的缺陷即将纠正它们。通常,通常更新和重新测试API(例如,每季度一次),因此您不会在随着时间的推移更新时昂贵的脆弱性的昂贵的漏洞的增长“雪球”。

问:API渗透测试一种模拟攻击类型吗?

答:否,API笔测试正在寻找通过检查它使用的API是否安全的API来测试应用程序的质量。它是关于识别API中的漏洞,而不是验证整体应用是否可以承受攻击。

问:如何知道测试人员/供应商有资格测试我的API?

答:API渗透测试和Web应用程序渗透测试通常是“部分艺术,部分工程”,这可能很难知道要期待什么以及您是否得到了您的代价。要询问测试人员/供应商的一些问题包括:您正在执行API笔测试多久以及您完成了多少?您是否在我的行业和/或类似的应用程序中完成了任何客户?您用作为基础的测试标准(例如,OWASP前10名,OWASP ASV)?您将测试哪种缺陷课程?您将使用的测试仪的经验水平是多少?你一步一步的方法是什么?您还可以要求提出示例报告。

下一步是什么?

您是否担心您的API正在将您的申请安全处于危险之中?如果是这样,伸出去! Pivot Point Security帮助许多组织证明他们的应用程序是安全的,并为开发人员带来安心,他们正在建立安全应用程序。

点击此处与应用程序安全专家交谈:

联系我们