-
-
产品分享|构建WEB及API安全防护体系势在必行
-
发表于: 2022-6-27 11:26 6781
-
随着互联网技术的不断发展,越来越多的企业和组织通过门户网站、在线服务平台等向公众提供服务,WEB应用的重要程度不言而喻。
由于WEB应用具有访问对象开放、技术架构复杂、涉及场景多样等特点,使其长期成为攻击的第一目标。根据相关调查报告显示,信息安全攻击中超过75%都发生在WEB应用层而非网络层上,可能造成包括服务器沦陷、数据信息泄露、服务应用中断、网站内容篡改等危害结果,每年都给数以万计的用户造成了巨大的损失。
同时在万物互联的数字时代,API承载着企业核心业务逻辑和敏感数据,支撑着用户早已习惯的互动式数字体验。根据相关统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。与此同时,针对API的攻击成为了恶意攻击者的首选,相对于传统Web窗体,API的性能更高、攻击成本更低,越来越多的黑客开始利用API进行业务欺诈。
事实上,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API会带来重大的未知风险。据Gartner预测,到2022年API滥用将是最常见的攻击方式。
WEB和API应用面临着越来越大的安全压力和挑战,为其构建安全防护体系势在必行。
安般科技自主研发的易察WEB和API模糊测试系统是一款集成WEB漏扫,资产扫描,API模糊测试的自动化工具。
漏洞扫描模块
漏洞扫描模块可以对WEB通用漏洞OWASP Top10和中间件漏洞进行扫描,比如SQL注入、XSS攻击、CMS、远程命令执行、未授权访问漏洞等。此外,还可以通过结合模糊测试模块去挖掘更多的深层安全漏洞。
资产扫描模块
资产扫描模块可以通过网上爬虫档案和DNS数据收集等多种手段探测网络资产,比如子域名、端口服务和URL等。
API模糊测试模块
API模糊测试模块主要是依据HTTP协议,通过自身引擎和算法,变异用户的输入参数,生成大量的模糊测试用例,向目标接口发送请求,并根据响应结果来判断是否请求以及是否存在异常。基于模糊测试策略漏洞扫描系统,为用户提供API自动发现、API漏洞扫描服务,提升系统的可靠性和安全性。
全面的漏洞覆盖
基于全面的漏洞规则库,针对WEB进行漏洞扫描,覆盖历年OWASP TOP 10的Web漏洞。具备优质 0Day/1Day/NDay 漏洞检测能力。为企业提供全面精准的漏洞扫描服务,帮助企业持续地发现对外服务的常见安全风险。
领先的API模糊测试技术
通过模糊测试引擎对URL参数,请求头,body参数进行变异,生成用例发送请求,根据响应来判断请求是否异常。具有高效模糊算法,模糊增强策略,规则检查器等技术特点。
01
支持多方式引入API接口,支持根据参数数据类型进行更加有针对性的变异,高效进行测试。
02
验证API漏洞及正确性,自动识别每个待测试端点,通过约束和验证分析生成的值对参数进行模糊测试,确保不偏离规格。
03
检查业务逻辑缺陷,绕过服务器端输入验证,通过智能生成的载荷测试 API 的功能,验证边界。
04
通过组合和测试身份验证方法(包括OAuth2,JWT和授权标头),检测API权限问题。
丰富的插件库
支持检测多种类型的Web漏洞,插件易于系统的扩展,便于更多漏洞类型的后续开发 。
漏扫综合插件
支持OWASP Top10和中间件漏洞进行扫描,比如SQL注入、XSS攻击、CMS、远程命令执行和未授权访问漏洞等。
漏扫补充插件
支持检测一些不常见漏洞类型,更加全面的进行扫描,如crlf注入,jsonp劫持等。
SQL注入专项检测插件
对SQL注入进行更加有针对性的测试,能够绕过一些waf设备进行检测。
资产扫描插件
支持子域名扫描、开放ip探测、开放端口探测等。
接口FUZZ插件
支持url参数变异,请求头变异,body参数变异,用户可自定义字段是否可变异。
详实的测试报告
测试报告内容详实,WEB漏扫报告包括:风险URL,风险详情,风险危害,请求响应,及具体修复建议。API模糊测试报告包括:风险API地址、请求内容、 接受内容、风险状态、发现时间。此外还可以根据客户实际需求,更新优化漏洞报告,高效可视化呈现分析结果。
灵活的交付方式
支持多种交付部署方式,客户侧私有化部署,无需联网,所有数据位于私有服务器上,数据安全亲自掌控。在线SaaS服务,节省硬件及场地开支,不再为服务器维护费心,尽享服务。
易察WEB和API模糊测试系统的防护体系贯穿整个生命周期,在API的设计和开发阶段,可以对API的安全性进行良好的构建和设计;可以提供全面的API风险管控,基于模糊测试的APIfuzzing应用接口安全测试,发现稳定性及安全性问题,全面保障API接口安全;同时提供政企网站安全保障,全方位检测政企网站风险,支持对常见Web 漏洞扫描,帮助客户解决网站安全隐患,安全再加固。
目前,易察WEB和API模糊测试系统作为安般科技旗下重要的安全产品之一,已在金融、政府、互联网等众多行业得到了广泛应用。例如已成功与国内某金融产权交易平台达成合作,帮助其交易平台发现了31个高中危风险漏洞,并提供了详细的POC漏洞验证过程和修复建议,极大地提升了客户系统的整体安全性和可靠性;通过易察系统对某客户内网系统进行API模糊测试,发现了数百个风险API地址,并提供了详细的漏洞信息,帮助其完成漏洞的复现和修复。未来安般科技将在产品功能上继续精益求精,探索更先进的测试技术,在WEB和API安全领域发挥更大的作用。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)