引入动态API扫描

应用环境比以往任何时候都更加复杂，API构成了关键的连接组织。但这种激增也创造了广阔且通常不可见的攻击面。安全团队陷入了困境：PCI和SOC 2等合规框架要求进行API扫描，但提供的指导很少。与此同时，您正在努力处理不完整的API清单，而市场则是昂贵、难以部署的利基工具的混乱组合。

您需要一种方法来查看攻击面上的所有内容，从Web应用程序到API，测试最重要的内容，并且所有这些都不会破坏现有的工作流程。

我们很高兴推出高级API扫描功能，完全集成到Detectify平台中。

应对日益增长问题的新方法

我们构建API扫描器是为了解决从安全团队那里听到的具体挑战。您告诉我们您需要：

我们的新功能旨在与智能扫描建议和资产分类相结合，正好做到这一点，为整个攻击面提供统一的可见性和研究主导的测试。

当我们决定构建API扫描时，我们主动选择不简单地包装现有的开源工具（如ZAP）。我们相信我们的客户应该得到比重新包装的检查和嘈杂结果更好的东西。相反，我们从零开始构建了自己的专有引擎，专注于三个关键原则：

静态API扫描器一次又一次地运行相同的检查。如果您的API没有更改，您会得到相同的结果，从而产生错误的安全感。我们的引擎不同。

我们使用动态方法，用于测试的负载在每次扫描时都是随机化和轮换的。正如我们的一位工程师所说：

“我们针对客户API运行的每次扫描都将是唯一的——这是我们以前从未扫描过的东西。”

即使在未更改的API中，这也创造了持续发现静态检查会遗漏的新漏洞的机会。

我们的动态方法允许大规模测试变体。对于某些测试（如提示注入），潜在负载排列的数量理论上超过92亿亿。对于命令注入，我们使用包含超过330,000个负载的库。

但这并不是混乱。随机化是可预测的。使用"种子"——很像Minecraft中的种子创建特定世界的方式——我们可以精确重现发现漏洞的确切负载，确保我们的发现对您的开发人员始终是可验证和可操作的。

我们的引擎由为Detectify其他部分提供动力的内部安全研究团队构建。我们专注于可利用性，这意味着我们尝试实际利用漏洞，而不仅仅是标记潜在问题。这种方法与我们具有零日漏洞发现历史的专有模糊测试技术相结合，产生了您可以信赖的高精度发现，大大减少了您在分类误报上浪费的时间。

统一的API可见性：通过Surface Monitoring，我们绘制出您的攻击面并将资产分类为API和Web应用程序等类别。您将发现的API端点与您上传的端点结合起来，提供统一的清单，以便您可以优先扫描整个攻击面，而不仅仅是您已经知道的部分。
广泛的漏洞覆盖：我们深入进行注入测试，还涵盖了OWASP API Top 10中的其他广泛类别，包括身份验证失效和安全配置错误。
合规信心：我们的平台提供了清晰且可辩护的过程，以满足最近添加到PCI和SOC2中的API安全合规要求。通过系统地扫描您的Web应用程序和API以查找各种漏洞，您可以自信地向审计员展示强大的测试方法。
整合的工作流程：通过将API扫描集成到我们的平台中，您可以将AppSec测试与单一供应商整合，简化工作流程，并在没有多个独立工具的情况下获得安全状况的全面视图。

如果您已经是Detectify客户，请不要错过"最新动态"页面，了解最新的产品更新和添加到平台的新安全测试。