全新API测试类别现已推出

Detectify · 2025年10月23日

我们的API扫描器能够测试数十种漏洞类型，如提示注入和配置错误。今天我们很高兴地宣布，针对使用JWT令牌的组织，我们发布了OAuth API授权的漏洞测试。这些JWT（JSON Web Tokens）旨在证明您有权访问您正在访问的内容。

最关键的JWT漏洞之一是算法混淆。当攻击者诱使服务器使用与预期不同的、安全性较低的算法来验证令牌签名时，就会发生这种情况。管理JWT时可能会出现许多其他问题，因此拥有检测这些错误配置的测试非常有用。

我们的API扫描器现在可以检测JWT出现的各种错误配置，如时间戳混淆甚至使用"none"操作标头。这将有助于减轻AppSec团队日常管理复杂基础设施时出现的错误配置风险。

那么，我们是如何能够发布超出OWASP API Top Ten或公开CVE的新型漏洞测试的呢？

当我们开始构建API扫描引擎时，我们面临一个根本性选择：封装现有的开源工具（如ZAP），还是从头开始构建。与其他供应商不同，我们选择了后者。虽然开源工具对安全社区非常宝贵，但我们相信客户值得拥有比重新包装的检查和嘈杂结果更好的产品。为了实现这一目标，我们设计了一个专有引擎，遵循三个核心原则：

动态载荷

传统API扫描器运行相同的测试，如果您的API没有更改，您会得到相同的结果。这可能会产生错误的安全感。我们采取了不同的方法。我们的引擎使用动态载荷，每次扫描时都会随机化和轮换。这意味着每次扫描都是一个独特的事件，是发现静态检查会遗漏漏洞的新尝试。即使在未更改的API中，我们的扫描器也提供了持续的发现机会。

大规模、可复现的结果

我们的动态方法不会以牺牲一致性为代价。它允许大规模的测试变体。对于某些测试，如提示注入，潜在载荷排列的数量理论上超过922万亿亿次。对于命令注入，我们从超过33万个载荷的库中提取。这不是混乱；而是受控且可预测的随机化。我们为每次扫描使用"种子"，就像Minecraft中的种子生成特定世界一样。这使我们能够精确复现识别漏洞的确切载荷，确保我们的发现始终可供开发人员验证和操作。

研究驱动的高精度发现

我们的引擎是我们内部安全研究团队的产物——该团队也为Detectify的其他部分提供支持。我们优先考虑可利用性，意味着我们尝试实际利用漏洞，而不仅仅是标记潜在问题。这与我们具有发现零日漏洞历史的专有模糊测试技术相结合，产生了您可以信赖的高精度发现。这大大减少了您在其他情况下花费在分类误报上的时间，使您能够专注于重要事项。

研究驱动的漏洞测试意味着我们的引擎不依赖于公开可用的信息。

Detectify内部构建和维护其扫描引擎，专门针对现代应用架构进行定制。这种方法通过更好地理解复杂逻辑和API驱动的前端，旨在为自定义应用产生更准确的结果。相比之下，通用开源引擎可能难以应对现代应用和API的细微差别。

这对AppSec团队为什么重要？简而言之，减少噪音。当今许多安全供应商严重依赖开源工具，这意味着工具没有采取措施来减少噪音。通过构建自己的引擎，Detectify可以实现诸如测试OAuth授权等方法，这有助于减少用户验证漏洞所花费的时间。

这意味着我们的API扫描器不仅在测试漏洞的方式上是动态的，而且不受当前可能性的限制。

我们经常从客户那里收到的一条反馈是，他们发现覆盖范围非常有用。我们不仅能够发现高严重性和关键漏洞，还能发现诸如配置错误的JWT令牌和缺失的安全标头等问题，这在API扫描器中并不常见。

我们能够向用户提供这种体验，因为我们的引擎是为AppSec团队构建的，这意味着我们考虑了用户需要的用例。

Detectify的研究驱动方法和专有模糊测试引擎提供高精度、可操作的结果，使AppSec团队能够自信地保护其API——尝试我们的API扫描器，体验不同之处。