全新API测试类别现已推出

Detectify · 2025年10月23日

我们的API扫描器能够测试数十种漏洞类型，如提示注入和错误配置。今天我们很高兴地宣布，我们正在为使用JWT令牌的组织发布OAuth API授权漏洞测试。

这些JWT（JSON Web令牌）旨在证明您有权访问您正在访问的任何内容。最关键的JWT漏洞之一是算法混淆。当攻击者诱使服务器使用与预期不同的、安全性较低的算法来验证令牌签名时，就会发生这种情况。

管理JWT时可能会出现许多其他问题，这就是为什么拥有检测这些错误配置的测试如此有用。

我们的API扫描器现在可以检测JWT发生的各种错误配置，如时间戳混淆甚至使用"none"操作标头。这将有助于减轻应用安全团队日常管理复杂基础设施时出现的错误配置风险。

我们如何能够发布超出OWASP API Top Ten或公开CVE的新型漏洞测试？

当我们开始构建API扫描引擎时，我们面临一个基本选择：包装现有的开源工具（如ZAP），还是从头开始构建。与其他供应商不同，我们选择了后者。虽然开源工具对安全社区非常宝贵，但我们相信我们的客户应该得到比重新包装的检查和嘈杂结果更多的东西。为了实现这一目标，我们设计了一个专有引擎，遵循三个核心原则：

动态载荷

传统的API扫描器运行相同的测试，如果您的API没有更改，您会得到相同的结果。这可能会产生错误的安全感。我们采取了不同的方法。我们的引擎使用动态载荷，每次扫描都会随机化和轮换。这意味着每次扫描都是一个独特的事件，一次发现静态检查会遗漏的漏洞的新尝试。即使在未更改的API中，我们的扫描器也提供了持续的发现机会。

大规模，可复现的结果

我们的动态方法不会以牺牲一致性为代价。它允许大规模的测试变体。对于某些测试，如提示注入，潜在载荷排列的数量理论上超过922 quintillion。对于命令注入，我们从超过330,000个载荷的库中提取。这不是混乱；这是受控和可预测的随机化。我们为每次扫描使用"种子"，就像Minecraft中的种子生成特定世界一样。这使我们能够精确复现识别漏洞的确切载荷，确保我们的发现始终可验证且对您的开发人员可操作。

研究驱动，高精度发现

我们的引擎是我们内部安全研究团队的产物——该团队也为Detectify的其他部分提供动力。我们优先考虑可利用性，这意味着我们尝试实际利用漏洞，而不是简单地标记潜在问题。这与我们具有发现零日漏洞历史的专有模糊测试技术相结合，产生了您可以信赖的高精度发现。这大大减少了您原本在分类误报上浪费的时间，使您能够专注于重要的事情。

研究驱动的漏洞测试意味着我们的引擎不依赖公开可用的信息。

Detectify内部构建和维护其扫描引擎，专门为现代应用程序架构量身定制。这种方法通过更好地理解复杂逻辑和API驱动的前端，旨在为自定义应用程序产生更准确的结果。相比之下，通用开源引擎可能难以应对现代应用程序和API的细微差别。

这对应用安全团队为什么重要？

简而言之，减少噪音。当今许多安全供应商严重依赖开源工具，这意味着工具没有采取措施来减少噪音。通过构建自己的引擎，Detectify可以实现测试OAuth授权等方法，这有助于减少用户验证漏洞所花费的时间。

这意味着我们的API扫描器不仅在测试漏洞的方式上是动态的，而且不受当前可能性的限制。

我们经常从客户那里得到的一个反馈是，他们发现覆盖范围的广度非常有用。我们不仅能够发现高严重性和关键漏洞，还能发现诸如配置错误的JWT令牌和缺失的安全标头等问题，这在API扫描器中并不常见。

我们能够向用户提供这种体验，因为我们的引擎是为应用安全团队构建的，这意味着我们考虑了用户需要的用例。

Detectify的研究驱动方法和专有模糊测试引擎提供高精度、可操作的结果，使应用安全团队能够自信地保护其API——尝试我们的API扫描器以体验不同。