Question:
How do you pen test a REST API?
MagnificentMaleficent
2016-06-14 04:04:58 UTC
view on stackexchange narkive permalink

Nous avons un serveur qui exécute une API REST sur le port 443. Je voudrais m'assurer qu'il est sécurisé en effectuant divers tests de stylet dessus. J'ai l'habitude de faire des tests offensifs sur une page Web où je peux voir le code et les URL, et trouver des formulaires à tester. Mais je suis complètement aveugle lorsque je teste une API. Je ne sais même pas quelles sont les URL valides à tester, y a-t-il une bonne documentation sur la façon de faire cela, peut-être en utilisant Kali Linux?

Astra est celui que j'ai rencontré:> Astra peut être utilisé par les ingénieurs de sécurité ou les développeurs en tant que partie intégrante > une partie de leur processus, afin qu'ils puissent détecter et corriger les vulnérabilités > au début du cycle de développement.Astra peut détecter automatiquement et > tester la connexion et la déconnexion (API d'authentification), il est donc facile pour tout le monde de > intégrer cela dans le pipeline CICD.Astra peut prendre la collection d'API comme un > entrée afin que cela puisse également être utilisé pour tester les apis en mode autonome.https://github.com/flipkart-incubator/Astra
Un répondre:
atdre
2016-06-14 04:36:20 UTC
view on stackexchange narkive permalink

REST Security et API Security sont d'excellents sujets de recherche.

Cette question et les réponses fournissent de bons points de départ pour trouver d'excellents outils et techniques pour tester ces interfaces - Méthodologies de test de sécurité des API

Si j'étais vous, j'éviterais de tester une interface REST ou la sécurité d'une API à distance, ou via une technique de boîte noire tels que les tests de sécurité dynamiques des applications. Ce que vous voulez, c'est analyser les décisions de conception (cet article de blog est une excellente référence avec des exemples de code .NET et des recommandations de composants) et / ou effectuer une révision de code sécurisée. Un outil que j'utilise couramment pour effectuer des révisions de code sécurisées est Rechercher des bogues de sécurité. Pour analyser les composants, il existe OWASP Dependency Check (avec prise en charge de plusieurs langues), bundler-audit pour Ruby, Retire.js (ou Snyk.io) pour JavaScript et OWASP SafeNuGet pour les projets .NET.

https://github.com/openstack/syntribos
https://github.com/spotbugs/spotbugs


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...