引入动态API扫描
应用环境比以往任何时候都更加复杂,API构成了关键的连接组织。但这种激增也创造了广阔且通常不可见的攻击面。安全团队陷入了困境:PCI和SOC 2等合规框架要求进行API扫描,但提供的指导很少。同时,您还要应对不完整的API清单,市场上充斥着昂贵且难以实施的利基工具,令人困惑。
您需要一种方法来查看攻击面上的所有内容,从Web应用到API,测试最重要的部分,并且所有这些都不会破坏您现有的工作流程。
我们很高兴推出高级API扫描功能,完全集成到Detectify平台中。
应对日益增长问题的新方法
我们构建API扫描器是为了解决从安全团队那里听到的具体挑战。您告诉我们您需要:
- 获得完整的API清单,而无需费力处理糟糕的文档
- 通过清晰、可辩护的测试过程,自信地满足合规需求
- 整合工具并在现有的应用安全计划中管理API测试
我们的新功能正是为此而设计,结合我们智能的扫描建议和资产分类,为整个攻击面提供统一的可见性和研究主导的测试。
Detectify API扫描引擎的独特之处是什么?
当我们决定构建API扫描时,我们积极选择不简单地包装像ZAP这样的现有开源工具。我们相信我们的客户值得比重新包装的检查和嘈杂结果更好的东西。相反,我们从零开始构建了自己的专有引擎,专注于三个关键原则:
1. 动态载荷:每次扫描都是唯一的
静态API扫描器一次又一次地运行相同的检查。如果您的API没有改变,您会得到相同的结果,产生一种错误的安全感。我们的引擎不同。
我们使用动态方法,用于测试的载荷在每次扫描中都是随机化和轮换的。正如我们的一位工程师所说:
“我们针对客户API运行的每次扫描都将是唯一的——这是我们以前从未扫描过的东西。”
这创造了持续发现静态检查会遗漏的新漏洞的机会,即使在未改变的API中也是如此。
2. 大规模,可重现的结果
我们的动态方法允许大规模的测试变体。对于某些测试,如提示注入,潜在载荷排列的数量理论上超过92亿亿。对于命令注入,我们使用包含超过330,000个载荷的库。
但这并不是混乱。随机化是可预测的。使用"种子"——就像Minecraft中的种子创建特定世界一样——我们可以精确重现发现漏洞的确切载荷,确保我们的发现对您的开发人员始终是可验证和可操作的。
3. 研究驱动,高精度发现
我们的引擎由推动Detectify其余部分的内部安全研究团队构建。我们专注于可利用性,意味着我们尝试实际利用漏洞,而不仅仅是标记潜在问题。这种方法,结合我们有着发现零日漏洞历史的专有模糊测试技术,产生了您可以信赖的高精度发现,大大减少了您在分类误报上浪费的时间。
Detectify API扫描对您意味着什么?
-
统一的API可见性:通过表面监控,我们绘制出您的攻击面并将资产分类为API和Web应用等类别。您将发现的API端点与您上传的端点结合起来,提供统一的清单,因此您可以优先扫描整个攻击面,而不仅仅是您已经知道的部分。
-
广泛的漏洞覆盖:我们深入进行注入测试,还涵盖其他广泛类别,包括OWASP API Top 10中的身份验证失效和安全配置错误。
-
合规信心:我们的平台提供了清晰且可辩护的过程,以满足最近添加到PCI和SOC2中的API安全合规要求。通过系统地扫描您的Web应用和API以查找广泛漏洞,您可以自信地向审计员展示强大的测试方法。
-
整合的工作流程:通过将API扫描集成到我们的平台中,您可以将应用安全测试与单一供应商整合,简化工作流程,并获得安全状况的全面视图,而无需多个独立工具。
准备好查看您的完整API攻击面了吗?与我们的专家交流或开始2周免费试用。
如果您已经是Detectify客户,请不要错过"最新动态"页面,了解最新的产品更新和添加到平台的新安全测试。