引入动态API扫描

应用环境比以往任何时候都更加复杂，API构成了关键的连接组织。但这种激增也创造了广阔且通常不可见的攻击面。安全团队陷入了困境：PCI和SOC 2等合规框架要求进行API扫描，但提供的指导很少。与此同时，您还要应对不完整的API清单，而市场则是昂贵、难以部署的利基工具的混乱组合。

您需要一种方法来查看攻击面上的所有内容，从Web应用程序到API，测试最重要的部分，并且所有这些都不会破坏您现有的工作流程。

我们很高兴推出高级API扫描功能，该功能已完全集成到Detectify平台中。

应对日益增长问题的新方法

我们构建API扫描器是为了解决我们从安全团队那里听到的具体挑战。您告诉我们您需要：

我们的新功能旨在结合我们智能扫描建议和资产分类来做到这一点，为您的整个攻击面提供统一的可见性和研究主导的测试。

当我们决定构建API扫描时，我们主动选择不简单地包装现有的开源工具（如ZAP）。我们相信我们的客户应该得到比重新包装的检查和嘈杂结果更好的东西。相反，我们从头开始构建了自己的专有引擎，专注于三个关键原则：

静态API扫描器一次又一次地运行相同的检查。如果您的API没有改变，您会得到相同的结果，从而产生一种错误的安全感。我们的引擎则不同。

我们采用动态方法，用于测试的载荷在每次扫描时都是随机化和轮换的。正如我们的一位工程师所说：

“我们针对客户API运行的每次扫描都将是独一无二的——这是我们以前从未扫描过的东西。”

这创造了持续发现静态检查会遗漏的新漏洞的机会，即使在未更改的API中也是如此。

我们的动态方法允许大规模的测试变体。对于某些测试，如提示注入，潜在载荷排列的数量理论上超过92亿亿次。对于命令注入，我们使用了一个包含超过330,000个载荷的库。

但这并不是混乱。随机化是可预测的。使用“种子”——就像Minecraft中的种子创建特定世界一样——我们可以精确地复现发现漏洞的确切载荷，确保我们的发现对您的开发人员来说始终是可验证和可操作的。

我们的引擎由为Detectify其他部分提供动力的内部安全研究团队构建。我们专注于可利用性，这意味着我们尝试实际利用漏洞，而不仅仅是标记潜在问题。这种方法，结合我们具有发现零日漏洞历史的专有模糊测试技术，产生了您可以信赖的高精度发现，大大减少了您在分类误报上浪费的时间。

统一的API可见性：通过表面监控，我们绘制出您的攻击面并将资产分类为API和Web应用等类别。您可以将发现的API端点与您上传的端点结合起来，提供一个统一的清单，以便您可以优先扫描整个攻击面，而不仅仅是您已经知道的部分。
广泛的漏洞覆盖：我们在注入测试方面深入挖掘，同时还涵盖了OWASP API Top 10中的广泛其他类别，包括身份验证失效和安全配置错误。
合规信心：我们的平台提供了一个清晰且可辩护的过程，以满足最近添加到PCI和SOC2中的API安全合规要求。通过系统地扫描您的Web应用和API以查找广泛的漏洞，您可以自信地向审计人员展示强大的测试方法。
整合的工作流程：通过将API扫描集成到我们的平台中，您可以将您的AppSec测试与单一供应商整合，简化工作流程，并在没有多个独立工具的情况下获得安全状况的全面视图。

准备好查看您的完整API攻击面了吗？与我们的专家交流或开始为期2周的免费试用。

如果您已经是Detectify客户，请不要错过“最新动态”页面，以获取最新的产品更新和添加到平台的新安全测试。