《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 商業(yè) vs 開源:10大主流API檢測工具

商業(yè) vs 開源:10大主流API檢測工具

2021-10-19
來源:安全牛
關(guān)鍵詞: API 檢測工具

  伴隨云計算,、大數(shù)據(jù)、人工智能等技術(shù)的蓬勃發(fā)展,,移動互聯(lián)網(wǎng),、物聯(lián)網(wǎng)產(chǎn)業(yè)加速創(chuàng)新,移動設(shè)備持有量不斷增加,,Web應(yīng)用,、移動應(yīng)用已融入生產(chǎn)生活的各個領(lǐng)域。在這一過程中,,應(yīng)用程序接口(Application Programming Interfaces,,簡稱API)作為數(shù)據(jù)傳輸流轉(zhuǎn)的重要通道發(fā)揮著舉足輕重的作用。

  API技術(shù)不僅是企業(yè)與客戶溝通的橋梁,,還承擔(dān)著不同復(fù)雜系統(tǒng),、組織機構(gòu)之間數(shù)據(jù)交互、傳輸?shù)闹厝?。許多大公司,,尤其是那些擁有大量在線業(yè)務(wù)的公司,在其基礎(chǔ)架構(gòu)中都嵌入了數(shù)百,,甚至數(shù)千個API,。

  然而,在API技術(shù)帶來積極作用的同時,,與其相關(guān)的數(shù)據(jù)安全問題也日益凸顯,。如今,API已成為攻擊者最喜歡的目標(biāo)之一,,他們能夠破壞API,,并將這些漏洞用于新目的,例如數(shù)據(jù)泄露或進一步滲透到目標(biāo)網(wǎng)絡(luò)中,。

  根據(jù)網(wǎng)絡(luò)安全公司Akamai的安全研究,,近75%的現(xiàn)代憑證攻擊都是針對易受攻擊的API。更糟糕的是,,問題正變得越來越嚴(yán)重,。Gartner研究報告顯示,到2022年,,涉及API的漏洞將成為所有網(wǎng)絡(luò)安全類別中最常受到攻擊的媒介,。

  10大主流API檢測工具

  API檢測作為一種用程序或工具來發(fā)送數(shù)據(jù),,同時驗收系統(tǒng)返回值的方法,是實現(xiàn)持續(xù)集成,,并保持DevOps實踐的重要組成部分,。一些API檢測工具旨在執(zhí)行單一功能,例如映射特定Docker API配置不當(dāng)?shù)脑?;其他一些工具則對整個網(wǎng)絡(luò)采取更全面的方法,,幫助企業(yè)識別錯誤、漏洞和過多的權(quán)限,。

  下面就為大家介紹6款主流的商業(yè)API檢測平臺,,以及4款免費或低成本的開源工具。

  商業(yè)API檢測工具和平臺

  01

  APIsec

  APIsec平臺就像一個針對API的滲透工具,,可以在開發(fā)階段部署,,同時對API進行編程。該平臺只需幾分鐘即可完成對正在構(gòu)建應(yīng)用程序的全面掃描,,而且其結(jié)果完全可與過去需要數(shù)天或數(shù)周才能完成的老式滲透測試相媲美,。此外,盡管很多工具都可以掃描腳本注入等典型攻擊的常見漏洞,,但APIsec會對目標(biāo)API的各個方面進行壓力測試,以確保從核心網(wǎng)絡(luò)到各個端點都能免受API代碼中漏洞的影響,。

  02

  AppKnox

  AppKnox能夠檢測所有可能導(dǎo)致API中斷或被破壞的常見問題,,例如HTTP請求中的命令注入漏洞、跨站點跟蹤和SQL注入漏洞等,。這包括對Web服務(wù)器,、數(shù)據(jù)庫和服務(wù)器上所有與API交互的組件完整性分析。AppKnox先通過掃描定位API,,用戶再選擇提交哪些API進行進一步檢測,,最后再將結(jié)果提交給安全研究人員進行高級分析,這一過程通常需要三到五天,。

  03

  Data Theorem API Secure

  Data Theorem API Secure平臺旨在適應(yīng)任何持續(xù)集成和持續(xù)交付/部署(CI/CD)環(huán)境,,以在開發(fā)的每個階段和生產(chǎn)環(huán)境中為API提供持續(xù)的安全性。其分析器引擎不斷在網(wǎng)絡(luò)中搜索新的API,,并可以快速識別未經(jīng)授權(quán)的API或?qū)儆诮M織“影子IT”(shadow IT)部分的API,。

  該分析器引擎能夠不斷學(xué)習(xí)有關(guān)API的最新漏洞,并不斷檢測受保護的資產(chǎn),。它適用于本地和云環(huán)境,,以確保任何API都不會淪為最新威脅的受害者。為了保持CI/CD管道順暢,,Data Theorem API Secure還提供自動修復(fù)能力,,無需人工干預(yù),。

  04

  Postman

  Postman作為構(gòu)建安全API的完整協(xié)作平臺,能夠被數(shù)百萬在Windows,、Linux和iOS環(huán)境中工作的開發(fā)人員使用,。Postman為開發(fā)人員提供一套完整的API工具,以便在設(shè)計新API時使用,,它還為企業(yè)或組織的后續(xù)代碼提供安全存儲庫,,以確保新API從一開始就保持嚴(yán)格的安全性和組織標(biāo)準(zhǔn)。

  當(dāng)應(yīng)用程序代碼偏離企業(yè)或組織的安全模板或包含潛在漏洞時,,Postman還可以提供安全警告,。這樣,問題就可以在API進入生產(chǎn)環(huán)境之前得到解決,。更為關(guān)鍵的是,,如果企業(yè)或組織不想編寫代碼,也可以通過Postman進行API測試,。也就是說,,對于那些不想在集成開發(fā)環(huán)境中使用代碼的初學(xué)者來說,Postman是其進行API檢測的最佳選擇之一,。

  05

  Smartbear ReadyAPI

  Smartbear ReadyAPI平臺可以導(dǎo)入幾乎任何規(guī)范或模式,,以使用最流行的協(xié)議檢測API。大體來說,,ReadyAPI支持Git,、Docker、Jenkins,、Azure DevOps,、TeamCity等,并且可以在API上線之前就在從開發(fā)到質(zhì)量保證的任何環(huán)境中運行,。ReadyAPI可以通過單擊執(zhí)行API安全分析,,并支持其他關(guān)鍵功能,例如查看API處理意外負(fù)載或使用量突然激增的能力,。它還可以記錄實時API流量,,并進行獨特環(huán)境的配置。

  06

  Synopsis API Scanner

  Synopsis API Scanner除了安全測試之外,,還將模糊測試作為其深度掃描和測試套件的一部分,。Synopsis API Scanner模糊測試引擎向API發(fā)送數(shù)以千計的意外、無效或隨機輸入,,以查看它們的行為方式,,或者檢測它們在遇到諸如非常大的數(shù)字或奇數(shù)命令之類的事情時是否會崩潰。

  Synopsis API Scanner還繪制了整個API的所有路徑和邏輯,包括適用的所有端點,、參數(shù),、身份驗證和規(guī)范。這讓開發(fā)人員能夠清楚地了解API可以執(zhí)行哪些功能,。此外,,它還清楚地說明了為什么API可能會受到意外行為或安全漏洞的影響。

  開源API檢測工具

  雖然開源工具通常無法提供與商業(yè)產(chǎn)品相同的支持服務(wù),,但因其免費和易用,,受到用戶的廣泛認(rèn)可,有經(jīng)驗的開發(fā)人員可以輕松地部署,,以支持或提高其API的安全性,。根據(jù)開源社區(qū)數(shù)據(jù),以下是一些較受歡迎的產(chǎn)品,。

  07

  Astra

  Astra主要專注于表述性狀態(tài)傳遞(REST)API,,可以自動檢測并測試登錄&注銷功能(認(rèn)證API),因此任何人都可以輕松將其集成到CI/CD管道中,,并在開發(fā)周期的早期階段幫助檢測及修復(fù)安全漏洞,。不過,Astra針對REST API的滲透測試則比較難實現(xiàn),,因為它們經(jīng)常不斷變化,。鑒于REST架構(gòu)強調(diào)組件之間交互的可擴展性,隨著時間的推移保持REST API的安全性可能更具挑戰(zhàn)性,。

  08

  crAPI

  crAPI工具名字取得很糟糕,,但它有效地執(zhí)行了作為API包裝器的功能。它是少數(shù)可以連接到目標(biāo)系統(tǒng),,并為根客戶端的默認(rèn)處理程序集提供基本路徑的包裝器之一。crAPI無需創(chuàng)建任何新連接即可完成此操作,,這使得高級API開發(fā)人員可以節(jié)省大量時間,。

  09

  Apache JMeter

  Apache JMeter用Java編寫,起初是作為Web應(yīng)用程序的負(fù)載測試器,,最近幾乎可用于任何應(yīng)用程序,、程序或API。它可以檢測靜態(tài)或動態(tài)資源的性能,,也可以生成大量真實流量的模擬負(fù)載,,以便開發(fā)人員了解API在壓力下的表現(xiàn)。

  10

  Taurus

  Taurus提供一種將獨立API檢測程序轉(zhuǎn)變?yōu)檫B續(xù)測試的簡單方法,。Taurus操作起來很簡單,,企業(yè)或組織只需安裝它,創(chuàng)建一個配置文件就能讓檢測工具發(fā)揮作用。企業(yè)或組織還可以通過Taurus找到生成交互式報告的方法,,以及創(chuàng)建更復(fù)雜的場景,,設(shè)置標(biāo)準(zhǔn)以便企業(yè)或組織立即修復(fù)發(fā)現(xiàn)的問題。

  總體來說,,商業(yè)工具會提供更多的支持選項,,可以通過云或作為一項服務(wù)進行遠程部署。不過,,一些開源工具的表現(xiàn)同樣出色,,得到了用戶社區(qū)的廣泛支持。企業(yè)可以根據(jù)自身需求,、IT團隊的安全專業(yè)能力和預(yù)算進行抉擇,。




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。