Я очень новичок в тестировании безопасности.
Будет очень полезно, если кто-нибудь предложит бесплатные инструменты с открытым исходным кодом, которые могут запускать сканирование на наличие проблем безопасности (например, SQL Injection) в REST API, которые используют запросы JSON.
Некоторые сервисы также используют OAUTH.
Спасибо
Пожалуйста, найдите следующие инструменты, которые могут обнаруживать уязвимости SQL-инъекций в веб-приложениях:
sqlmap
— инструмент тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и эксплуатации уязвимостей SQL-инъекций.Инструменты для тестирования на проникновение в Интернет см. в разделе Тестирование сервера на наличие уязвимостей безопасности .
Для сканеров вредоносных программ PHP см.: Сканер вредоносных программ для кода веб-сайтов?
Следующие инструменты и платформы можно использовать для проведения тестов безопасности для RESTful API.
ZAP-API-сканирование
https://github.com/zaproxy/zaproxy/wiki/ZAP-API-сканирование
VOOKI — сканер уязвимостей RestAPI:
Vooki — бесплатный сканер уязвимостей RestAPI. Это удобный инструмент, с помощью которого вы можете легко сканировать REST с помощью графического интерфейса. Он имеет функцию сохранения, с помощью которой вы можете повторить сканирование, чтобы проверить, была ли исправлена сообщенная уязвимость или нет.
Скачать можно здесь https://www.vegabird.com/vooki/
Астра
Astra может автоматически обнаруживать и тестировать вход и выход из системы (API аутентификации), поэтому любой может легко интегрировать это в конвейер CICD. Astra может принимать набор API в качестве входных данных, поэтому его также можно использовать для тестирования API в автономном режиме.
https://github.com/flipkart-incubator/Астра
фузапи
Fuzzapi — это приложение для рельсов, которое использует API_Fuzzer и предоставляет решение пользовательского интерфейса для gem.
https://github.com/Fuzzapi/fuzzapi
Пакет Burp Вы можете использовать Burp для тестирования REST API
https://support.portswigger.net/customer/portal/articles/2898216-using-burp-to-test-a-rest-api
Николя Рауль
Самарт