Content Library

网络安全研究中心

Blog

现代应用程序架构是建立在分布式应用程序和通过api通信的服务之上的. 新濠天地对此API扫描仪™使开发人员能够轻松地识别他们实现的API中的安全缺陷.

AppSec测试针对API开发者的需求进行了优化

api提供开放、灵活的接口,使应用程序和服务能够相互通信. 但这些特征也会使开发安全软件变得困难,甚至使传统的AppSec工具难以对其进行测试.

新濠天地对此API扫描仪的深度分析和上下文感知模糊帮助开发团队主动保护他们的REST和GraphQL API,并确保它们是安全的, correct, 并遵守规范.

RESTful和GraphQL api的上下文感知分析


RESTful APIs

使用OpenAPI/Swagger或HTTP存档(HAR)导出, 新濠天地对此API扫描仪构建了整个API的映射, including endpoints, parameters, type signatures, and specifications, 以及身份验证和其他必要信息,以便深入理解API以及如何与之交互.


GraphQL APIs

当指向GraphQL端点时, 新濠天地对此API扫描仪使用自省(GraphQL的一个特性)和正在申请专利的图简化算法来构建整个GraphQL API的可遍历表示和用于审计的查询的完整代表集. 新濠天地对此API扫描仪是唯一可以对GraphQL API漏洞和正确性进行全面审计的工具.

智能API安全测试

新濠天地对此API扫描仪全面测试API:

漏洞和正确性

自动测试每个确定的端点, 通过约束和验证分析产生的参数模糊化,以确保实现不偏离规范.

业务逻辑缺陷

绕过服务器端输入验证,用智能生成的有效负载测试api的功能,以测试验证的边界.

授权和身份验证绕过

结合和测试身份验证方法, including OAuth2, JWT, 和授权标头, 所有这些都在一个容易定义的工作流中.

以开发的速度进行测试

fast api scans


Fast scans

新濠天地对此API扫描仪可以在几分钟内运行,所以你的DevOps/CI管道不会变慢.

一重放攻击


单击重播攻击

减少修复/测试周期时间. 使用内置的cURL命令轻松地重放攻击, 哪些包含利用漏洞的精确请求和有效负载.

与您今天使用的工具集成的自动化测试

ci/cd integration


CI/CD integration

新濠天地对此API扫描仪直接集成Jenkins和其他CI/CD管道工具, 这样你就可以在你的DevOps管道中构建API安全性.

automation API


Automation API

使用新濠天地 API定制和自动化API扫描和发布报告的任何方面. 如果你能在UI中做到,你也能在API中做到.

问题跟踪器集成


问题跟踪器集成

测试结果直接集成到Jira或您选择的问题跟踪工具,使用简单的API调用. 漏洞修复后,它们就会自动关闭, 如果它们再次发生,就会重新开始. 不要再日复一日地被同样的弱点淹没.

Related content