Сканер API Tinfoil Security способен обнаруживать уязвимости в любом API, включая подключенные к сети устройства, такие как мобильные серверы, IoT-устройства, а также любые API-интерфейсы RESTful. Немногим инструментам, которые в настоящее время доступны, не хватает глубины охвата в области безопасности API, или они сосредоточены на том, чтобы действовать как брандмауэр или неинтеллектуальный фаззер. Уязвимости, сосредоточенные на проблемах авторизации и контроля доступа, или даже веб-уязвимости, такие как XSS, проявляются по-разному и с разными векторами эксплуатации, чем для веб-приложений. Проблемы безопасности для API принципиально отличаются от проблем для веб-приложений. Сканер API Tinfoil Security был с самого начала создан для того, чтобы сосредоточиться именно на API, а не на пристрастии к сканеру веб-приложений, чтобы иметь возможность обрабатывать API наполовину. Быстрый анализ черного ящика Мы принимаем документацию по API для построения карты всех конечных точек API и их параметров, включая ограничения. Мы объединяем все параметры со значениями, сгенерированными путем анализа указанных ограничений и проверок. Мы можем обойти проверку входных данных на стороне сервера и отсканировать основную бизнес-логику, и мы можем найти обходы авторизации и аутентификации, используя нечеткие рабочие процессы аутентификации, определенные пользователем. Все это в среднем менее чем за минуту; мы тратим наше время на тестирование частей API, которые наиболее уязвимы. Интеллектуальные полезные нагрузки Полезные нагрузки создаются на основе ограничений, определенных в предоставленной вами документации. Поскольку мы можем видеть определения параметров, мы знаем, например, нужно ли вводить строку длиной от 5 до 12 символов или должен иметь определенный формат. Используя эти знания, мы автоматически создадим граничные тесты, которые подчеркивают способность приложения вести себя в соответствии со спецификацией. В результате, наши полезные данные в основном правильные, но в некотором роде вредоносные; мы не путаем случайный мусор, делая наше сканирование эффективным, интеллектуальным и невероятно эффективным. Авторизаторы Аутентификация API сложна, включая различные методы, такие как OAuth 2, JWT и ваши обычные заголовки авторизации. Процесс полной аутентификации для API обычно объединяет и накладывает несколько слоев этих методов аутентификации друг на друга. Tinfoil Security позволяет указывать эти аутентификаторы как строительные блоки, каждый из которых выполняет один этап рабочего процесса аутентификации. Мы даем вам инструменты для четкого определения рабочих процессов, что дает нам лучшее понимание аутентификации и того, где она может не работать. Это позволяет нам однозначно проверять крайние случаи аутентификации, включая обход авторизации способами, недоступными другим сканерам.