Tinfoil API 安全测试
检测 Web、移动和物联网应用和服务中的 API 安全风险
现代应用程序架构建立在通过 API 进行通信的分布式应用和服务之上。Tinfoil API Scanner™ 使开发人员能够轻松识别所实现 API 中的安全缺陷。
API 提供开放、灵活的界面,使应用程序和服务能够相互交流。但是,这些特性也可能使构建安全软件变得困难,而传统的 AppSec 工具更难对其进行测试。
Tinfoil API 扫描器的深入分析和环境感知型模糊测试功能有助于开发团队主动保护其 REST 和 GraphQL API,并确保其安全、正确且符合规格。
指向 GraphQL 端点时,Tinfoil API 扫描器使用自检(GraphQL 功能)和正在申请专利的图归约算法来构建整个 GraphQL API 的可遍历表示和用于审核的完整代表性查询集。Tinfoil API 扫描器是唯一能够全面审核 GraphQL API 漏洞和正确性的工具。
Tinfoil API 扫描器全面测试 API 的以下问题:
自动测试每个已识别的端点,使用通过约束和验证分析生成的值对参数进行模糊测试,以确保实现不偏离规格。
绕过服务器端输入验证,通过智能生成的载荷测试 API 的功能,以测试验证的边界。
组合和测试身份验证方法(包括 OAuth2、JWT 和授权标头),所有这些都在一个轻松定义的工作流程中完成。