Средства сканирования OpenSource Security для REST API

Я очень новичок в тестировании безопасности.

Будет очень полезно, если кто-нибудь предложит бесплатные инструменты с открытым исходным кодом, которые могут запускать сканирование на наличие проблем безопасности (например, SQL Injection) в REST API, которые используют запросы JSON.

Некоторые сервисы также используют OAUTH.

Спасибо

Подходят ли инструменты, требующие доступа к вашему исходному коду?
@NicolasRaoul Я думаю, мне не дадут доступ к исходному коду, но все же я могу попробовать. Поделитесь инструментами. Спасибо

Ответы (2)

SQL-инъекция

Пожалуйста, найдите следующие инструменты, которые могут обнаруживать уязвимости SQL-инъекций в веб-приложениях:

  • BSQL Hacker — автоматизированная платформа/инструмент для внедрения SQL-инъекций, предназначенная для использования уязвимостей SQL-инъекций практически в любой базе данных.
  • SQL Ninja — инструмент внедрения и захвата SQL Server.
  • sqlmap— инструмент тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и эксплуатации уязвимостей SQL-инъекций.
  • Absinthe — слепое приложение для эксплуатации SQL.

Расширения веб-браузера:

Веб-сервисы

  • Scan Titan — сканирование веб-сайтов на наличие уязвимостей.

Сканеры уязвимостей

Инструменты для тестирования на проникновение в Интернет см. в разделе Тестирование сервера на наличие уязвимостей безопасности .

PHP

Для сканеров вредоносных программ PHP см.: Сканер вредоносных программ для кода веб-сайтов?

Следующие инструменты и платформы можно использовать для проведения тестов безопасности для RESTful API.

ZAP-API-сканирование

https://github.com/zaproxy/zaproxy/wiki/ZAP-API-сканирование

VOOKI — сканер уязвимостей RestAPI:

Vooki — бесплатный сканер уязвимостей RestAPI. Это удобный инструмент, с помощью которого вы можете легко сканировать REST с помощью графического интерфейса. Он имеет функцию сохранения, с помощью которой вы можете повторить сканирование, чтобы проверить, была ли исправлена ​​​​сообщенная уязвимость или нет.

Скачать можно здесь https://www.vegabird.com/vooki/

Астра

Astra может автоматически обнаруживать и тестировать вход и выход из системы (API аутентификации), поэтому любой может легко интегрировать это в конвейер CICD. Astra может принимать набор API в качестве входных данных, поэтому его также можно использовать для тестирования API в автономном режиме.

https://github.com/flipkart-incubator/Астра

фузапи

Fuzzapi — это приложение для рельсов, которое использует API_Fuzzer и предоставляет решение пользовательского интерфейса для gem.

https://github.com/Fuzzapi/fuzzapi

Пакет Burp Вы можете использовать Burp для тестирования REST API

https://support.portswigger.net/customer/portal/articles/2898216-using-burp-to-test-a-rest-api

Средства сканирования OpenSource Security для REST API
СпросиСетьПолитика конфиденциальности1y, 0v