Разработчики и стартапы на ранних стадиях развития создают REST API для обеспечения работы мобильных, веб- и API-приложений. Большинство API являются общедоступными и редко проходят надлежащий цикл тестирования безопасности.
По данным Gartner, API в настоящее время стали самым атакующим вектором. Они опережают сети, рыболовные атаки и т.д. Боты могут сканировать и обнаруживать общедоступные API, а обнаружив уязвимости, постоянно их эксплуатируют.
Большинство приложений попадают в категории соответствия, такие как SOC 2 для технологий, PCI DSS для платежей, HIPAA для медицинской конфиденциальности и GDPR/CCPA для конфиденциальности потребителей.
Если ваш API относится к одной из этих областей соответствия, то в соответствии с этими стандартами вы обязаны постоянно тестировать свои API на безопасность/проникновение, сообщать о нарушениях и выплачивать штрафные санкции. Вы больше не можете скрывать и игнорировать проблемы безопасности. Вы должны сообщать о них в определенные сроки, и невыполнение требований может дорого вам обойтись.
Эти стандарты имеют одну и ту же главную цель: защитить пользовательские данные и конфиденциальность и убедиться, что ваши приложения/организации относятся к безопасности с максимальной важностью.
Исторически сложилось так, что перечисленные ниже препятствия заставляли разработчиков пропускать или откладывать тестирование безопасности.
Ручное тестирование — сканеры DAST автоматизируют основные вещи, но более глубокое тестирование требует квалифицированных специалистов по тестированию на проникновение.
Дорого — тестирование на проникновение требует больших затрат.
Низкое качество — большинство отчетов о тестировании на проникновение содержат множество проблем, которые разработчики оценивают как низкоприоритетные и не имеют четких инструкций по устранению.
Я собираюсь предложить вам бесплатные и автоматизированные решения для начала работы:
EthicalCheck (рекомендуется)
Это бесплатный и мгновенный онлайн-инструмент для тестирования API на проникновение. Тесты являются неинтрузивными и не требуют регистрации. Недостатком является то, что тесты ограничены. Укажите на свой публичный API и получите мгновенный отчет менее чем за 1 минуту. Кроме того, создаваемый PDF-отчет совместим с требованиями SOC 2 и других стандартов.
Stackhawk .
Предлагает бесплатную и платную версии. Он построен на базе ZAP. Требуется регистрация и базовое понимание безопасности.
APIsec
Предлагает бесплатную и платную версии. Платформа с низким уровнем кода. Требуется регистрация. Охватывает вопросы, связанные с API, такие как дефекты логики, контроль доступа, OWASP и т.д.