产品更新:动态API扫描、推荐与分类等功能
我们深知保持威胁领先地位的重要性。在Detectify,我们致力于为您提供有效保护应用程序所需的安全工具。本次更新涵盖了我们全新的动态API扫描功能、过去几个月的更新内容,以及我们漏洞测试能力的最新增强。
过去几个月我们为客户交付了什么?
动态API扫描功能发布
我们很高兴宣布推出动态API扫描功能,现已集成到Detectify平台中。随着API对现代应用变得越来越关键,它们也带来了不断扩大的攻击面。我们新的API扫描引擎旨在为您的API提供统一的可见性和研究驱动的测试。
主要功能包括:
- 全面漏洞覆盖:我们测试广泛的漏洞类型,包括OWASP API Top 10,确保您的API免受最关键威胁的影响
- 统一平台:通过将API扫描集成到Detectify平台,我们为管理整个攻击面的安全性提供了单一管理界面
这一新功能将帮助您应对API清单不完整和使用不同测试解决方案等挑战。新的API扫描器采用先进的动态方法,每次扫描使用的载荷都是随机化和轮换的,这意味着我们对客户API运行的每次扫描都将是独特的——这是我们从未扫描过的内容。
通过本指南开始使用Detectify API扫描。
不确定扫描什么?我们来帮您
在数百个资产中优先进行深度应用扫描是一项重大挑战。为了解决这个问题,我们的新扫描推荐功能帮助您从猜测转向确定性。它会分析您的攻击面,识别复杂的交互式Web应用,并推荐进行深度扫描,确保您最关键资产始终得到覆盖。
Detectify现在以单一视图呈现资产分类
要决定测试什么,您首先需要了解每个资产的功能。我们的新资产分类功能通过分析和分类您的Web资产(例如,丰富的Web应用、API)来自动执行此操作。这为您提供了优先安排安全测试所需的洞察力,确保攻击面得到覆盖。
我们还对Detectify的性能进行了重大改进
改进的子域名发现功能,词表扩大三倍
我们增强了主动子域名发现功能。它现在可以递归运行以查找深度嵌套的子域名,并使用扩大三倍的词表。这个扩展的词表会随着时间的推移进行探索,以发现隐蔽资产,同时影响最小。为了支持这些改进,必须启用被动子域名发现才能运行主动发现。
通过API基于修改时间戳过滤漏洞
我们改进了API中的漏洞过滤功能。漏洞端点现在返回一个<modified_at>时间戳,该时间戳会在任何更改(包括手动操作)时更新。这允许使用新的<modified_before>和<modified_after>过滤器进行更精细的查询。
感谢Alfred、Crowdsource和我们内部安全研究团队,我们发布了许多新测试
如果我们列出所有新实现的漏洞测试,这个产品更新将会非常非常长。这些测试得益于我们的AI安全研究员Alfred、Crowdsource和我们出色的安全研究团队。您可以在此处查看我们所有的新测试。