产品更新:动态API扫描、推荐与分类功能等
我们深知保持威胁领先地位的重要性。在Detectify,我们致力于为您提供有效保护应用程序安全所需的工具。本次更新涵盖了我们全新的动态API扫描功能、过去几个月的更新内容以及漏洞测试能力的最新增强。
过去几个月我们为客户交付了哪些功能?
动态API扫描功能发布
我们很高兴宣布推出动态API扫描功能,该功能现已集成到Detectify平台中。随着API对现代应用变得越来越关键,它们也带来了不断扩大的攻击面。我们全新的API扫描引擎旨在为您的API提供统一的可见性和研究驱动的测试。
核心功能包括:
- 全面漏洞覆盖:我们测试广泛的漏洞类型,包括OWASP API Top 10,确保您的API受到最严重威胁的保护。
- 统一平台:通过将API扫描集成到Detectify平台,我们为管理整个攻击面的安全性提供了单一管理界面。
这项新功能将帮助您应对API清单不完整和使用分散测试解决方案等挑战。新的API扫描器采用先进的动态方法,每次扫描使用的负载都是随机化和轮换的,这意味着我们对客户API运行的每次扫描都将是独一无二的——这是我们以前从未扫描过的内容。在此了解更多关于动态负载的信息。
通过本指南开始使用Detectify API扫描。
不确定扫描什么?我们来帮您
在数百个资产中优先安排深度应用扫描是一项重大挑战。为了解决这个问题,我们新的扫描推荐功能帮助您从猜测转向确定性。它会分析您的攻击面,识别复杂的交互式Web应用,并推荐进行深度扫描,确保您最关键资产始终得到覆盖。
Detectify现在以单一视图呈现资产分类
要决定测试什么,您首先需要了解每个资产的功能。我们新的资产分类功能通过分析和分类您的Web资产(例如,丰富的Web应用、API)来自动执行此操作。这为您提供了优先安排安全测试所需的信息,确保攻击面得到覆盖。
我们还对Detectify的性能进行了重大改进
子域名发现功能升级:词库扩大三倍
我们增强了主动子域名发现功能。现在它可以递归运行以查找深度嵌套的子域名,并使用扩大三倍的词库。这个扩展的词库会随着时间的推移进行探索,以最小的影响发现隐蔽资产。为了支持这些改进,必须启用被动子域名发现才能运行主动发现。
通过API基于修改时间戳过滤漏洞
我们改进了API中的漏洞过滤功能。漏洞端点现在返回一个<modified_at>时间戳,该时间戳会在任何更改(包括手动操作)时更新。这允许使用新的<modified_before>和<modified_after>过滤器进行更细粒度的查询。
感谢Alfred、Crowdsource和我们内部安全研究团队,我们发布了大量新测试
如果我们列出所有通过Alfred(我们的人工智能安全研究员)、Crowdsource和我们出色的安全研究团队实施的新漏洞测试,本次产品更新将会非常非常长。因此,您可以在此处查看我们所有的新测试。
相关阅读
- 产品更新:新的API测试类别现已可用 – 2025年10月23日
- 产品更新:无限负载?动态模糊测试的未来 – 2025年9月18日
- 产品更新:动态API扫描功能发布 – 2025年9月2日
- 产品更新:通过智能扫描推荐和资产分类重新定义应用安全测试 – 2025年4月24日