API 安全测试

检测 Web、移动和物联网应用和服务中的 API 安全风险

现代应用程序架构建立在通过 API 进行通信的分布式应用和服务之上。Synopsys API Scanner™ 使开发人员能够轻松识别所实现 API 中的安全缺陷。

AppSec 测试针对 API 开发人员的需求进行了优化

API 提供开放、灵活的界面,使应用程序和服务能够相互交流。但是,这些特性也可能使构建安全软件变得困难,而传统的 AppSec 工具更难对其进行测试。

Synopsys API 扫描器的深入分析和环境感知型模糊测试功能有助于开发团队主动保护其 REST 和 GraphQL API,并确保其安全、正确且符合规格。

RESTful 和 GraphQL API 的环境感知分析


RESTful API

Synopsys API 扫描器使用 OpenAPI/Swagger 或 HTTP Archive (HAR) 导出,可构建整个 API 的映射,包括端点、参数、类型签名和规格,以及身份验证和其他必要信息,以深入了解 API 以及与其交互的方式。


GraphQL API

指向 GraphQL 端点时,Synopsys API 扫描器使用自检(GraphQL 功能)和正在申请专利的图归约算法来构建整个 GraphQL API 的可遍历表示和用于审核的完整代表性查询集。Synopsys API 扫描器是唯一能够全面审核 GraphQL API 漏洞和正确性的工具。

智能 API 安全测试

Synopsys API 扫描器全面测试 API 的以下问题:

漏洞和正确性

自动测试每个已识别的端点,使用通过约束和验证分析生成的值对参数进行模糊测试,以确保实现不偏离规格。

业务逻辑缺陷

绕过服务器端输入验证,通过智能生成的载荷测试 API 的功能,以测试验证的边界。

授权和身份验证旁路

组合和测试身份验证方法(包括 OAuth2、JWT 和授权标头),所有这些都在一个轻松定义的工作流程中完成。

以开发速度进行测试

快速 api 扫描


快速扫描

Synopsys API 扫描器运行只需几分钟,因此您的 DevOps/CI 管道不会降速。

一次播放重放攻击


一键重放攻击

缩短修复/测试周期时间。使用内置 cURL 命令轻松重放攻击,其中包含利用漏洞的精确请求和载荷。

自动化测试功能与您现在使用的工具集成

ci/cd 集成

CI/CD 集成

Synopsys API 扫描器直接与 Jenkins 和其他 CI/CD 管道工具集成,因此您可以在 DevOps 管道中构建 API 安全性。

自动化 API

自动化 API

使用 Synopsys API 定制并自动执行 API 扫描和问题报告的任何方面。如果可以在 UI 中执行此操作,就同样可以使用 API 执行。

问题跟踪器集成

问题跟踪系统

测试结果通过简单的 API 调用直接集成到 Jira 或您选择的问题跟踪工具中。当漏洞修复后,它们会自动关闭,如果漏洞再次出现,则会作为回归重新打开。您再也不用日复一日地埋首于解决相同的漏洞了。

相关内容