Tinfoil APIセキュリティ・テスト

Web、モバイル、IoTのアプリケーションやサービスに潜むAPIセキュリティ・リスクを検出する

最先端のアプリケーション・アーキテクチャはAPIを介して通信する分散型のアプリケーションとサービスに基づいて構築されています。Tinfoil API Scanner™を使用すれば、開発チームは実装するAPIのセキュリティ上の欠陥を簡単に特定できます。

API開発チームのニーズに合わせて最適化されたアプリケーション・セキュリティ・テスト

APIは、アプリケーションやサービス間の通信を可能にするオープンで柔軟なインターフェイスですが、この特性がセキュアなソフトウェアの構築を困難にし、従来のAppSecツールでテストする場合にはさらに難しくなる可能性もあります。

Tinfoil API Scannerの詳細な分析とコンテキストを考慮したファジングにより、REST APIとGraphQL APIを事前に保護し、そのセキュリティと正確性、およびその動作が仕様に従っていることを確認できます。

コンテキストを考慮したRESTfulおよびGraphQL APIの解析


RESTful API

Tinfoil API Scannerは、OpenAPI/SwaggerまたはHTTPアーカイブ(HAR)エクスポートを利用してAPI全体のマップを構築します。このマップには、エンドポイント、パラメータ、型シグネチャ、仕様、認証、その他APIおよびAPIとの通信方法の理解を深めるために必要な情報を含んでいます。


GraphQL API

GraphQLエンドポイントを指定すると、Tinfoil API Scannerはイントロスペクション(GraphQLの機能)と特許出願中のグラフ還元アルゴリズムを用いて、GraphQL API全体のトラバース可能な表現と、監査に使用されるクエリの表現一式を構築します。Tinfoil API Scannerは、GraphQL APIの脆弱性と正確性の問題を完全に監査できる唯一のツールです。

インテリジェントなAPIセキュリティ・テスト

Tinfoil API ScannerはAPIを包括的にテストします。

脆弱性と正確性

指定されたすべてのエンドポイントを自動的にテストし、制約と検証解析によって生成された値を使用してパラメータをファジングし、実装が仕様から逸脱していないことを確認します。

ビジネス・ロジックの欠陥

サーバー側の入力検証をバイパスして、検証の境界をテストするためにインテリジェントに生成されたペイロードを使用してAPIの機能をテストします。

認可・認証のバイパス

OAuth2、JWT、Authorizationヘッダーなどの認証方法を組み合わせて、すべて定義が簡単なワークフローでテストします。

テストを開発スピードに合わせる

高速なAPIスキャン


高速スキャン

Tinfoil API Scannerは数分で実行が完了するため、DevOps/CIパイプラインの遅滞が生じません。
シングルプレイのリプレイ攻撃


ワンクリックのリプレイ攻撃

修正/テストのサイクルタイムを短縮します。リプレイ攻撃は、脆弱性を悪用して正確な要求とペイロードを含む組み込みのcURLコマンドを使用すれば、簡単に実行できます。

現在使用中のツールにテストを統合して自動化

ci/cd統合


CI/CD統合

Tinfoil API ScannerはJenkinsなどのCI/CDパイプライン・ツールと直接連携するため、DevOpsパイプラインにAPIセキュリティを組み込むことができます。
自動化API


自動化API

Tinfoil APIを使用して、APIスキャンの任意の要素を調整および自動化し、レポートを発行します。UIで実行できる機能はAPIでも実行できます。
課題管理システムの統合

課題トラッカーの統合

テスト結果はJiraまたは簡単なAPI呼び出しによって選択した問題追跡ツールに直接統合されます。脆弱性が修正されるとテストは自動的に終了し、再発した場合はリグレッションとして再開されます。来る日も来る日も同じ脆弱性に忙殺されることはなくなります。

関連コンテンツ