随着互联网技术的不断发展，越来越多的企业和组织通过门户网站、在线服务平台等向公众提供服务，WEB应用的重要程度不言而喻。

由于WEB应用具有访问对象开放、技术架构复杂、涉及场景多样等特点，使其长期成为攻击的第一目标。根据相关调查报告显示，信息安全攻击中超过75%都发生在WEB应用层而非网络层上，可能造成包括服务器沦陷、数据信息泄露、服务应用中断、网站内容篡改等危害结果，每年都给数以万计的用户造成了巨大的损失。

同时在万物互联的数字时代，API承载着企业核心业务逻辑和敏感数据，支撑着用户早已习惯的互动式数字体验。根据相关统计，API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿次。与此同时，针对API的攻击成为了恶意攻击者的首选，相对于传统Web窗体，API的性能更高、攻击成本更低，越来越多的黑客开始利用API进行业务欺诈。

事实上，很多企业并不清楚自己拥有多少API，也并不能保证每个API都具有良好的访问控制，被遗忘的影子API和僵尸API会带来重大的未知风险。据Gartner预测，到2022年API滥用将是最常见的攻击方式。

WEB和API应用面临着越来越大的安全压力和挑战，为其构建安全防护体系势在必行。

安般科技自主研发的易察WEB和API模糊测试系统是一款集成WEB漏扫，资产扫描，API模糊测试的自动化工具。

漏洞扫描模块
漏洞扫描模块可以对WEB通用漏洞OWASP Top10和中间件漏洞进行扫描，比如SQL注入、XSS攻击、CMS、远程命令执行、未授权访问漏洞等。此外，还可以通过结合模糊测试模块去挖掘更多的深层安全漏洞。

资产扫描模块
资产扫描模块可以通过网上爬虫档案和DNS数据收集等多种手段探测网络资产，比如子域名、端口服务和URL等。

API模糊测试模块
API模糊测试模块主要是依据HTTP协议，通过自身引擎和算法，变异用户的输入参数，生成大量的模糊测试用例，向目标接口发送请求，并根据响应结果来判断是否请求以及是否存在异常。基于模糊测试策略漏洞扫描系统，为用户提供API自动发现、API漏洞扫描服务，提升系统的可靠性和安全性。

全面的漏洞覆盖
基于全面的漏洞规则库，针对WEB进行漏洞扫描，覆盖历年OWASP TOP 10的Web漏洞。具备优质 0Day/1Day/NDay 漏洞检测能力。为企业提供全面精准的漏洞扫描服务，帮助企业持续地发现对外服务的常见安全风险。

领先的API模糊测试技术
通过模糊测试引擎对URL参数，请求头，body参数进行变异，生成用例发送请求，根据响应来判断请求是否异常。具有高效模糊算法，模糊增强策略，规则检查器等技术特点。

01

支持多方式引入API接口，支持根据参数数据类型进行更加有针对性的变异，高效进行测试。

02

验证API漏洞及正确性，自动识别每个待测试端点，通过约束和验证分析生成的值对参数进行模糊测试，确保不偏离规格。

03

检查业务逻辑缺陷，绕过服务器端输入验证，通过智能生成的载荷测试 API 的功能，验证边界。

04

通过组合和测试身份验证方法（包括OAuth2，JWT和授权标头），检测API权限问题。

丰富的插件库
支持检测多种类型的Web漏洞，插件易于系统的扩展，便于更多漏洞类型的后续开发 。

漏扫综合插件
支持OWASP Top10和中间件漏洞进行扫描，比如SQL注入、XSS攻击、CMS、远程命令执行和未授权访问漏洞等。

漏扫补充插件
支持检测一些不常见漏洞类型，更加全面的进行扫描，如crlf注入，jsonp劫持等。

SQL注入专项检测插件
对SQL注入进行更加有针对性的测试，能够绕过一些waf设备进行检测。

资产扫描插件
支持子域名扫描、开放ip探测、开放端口探测等。

接口FUZZ插件
支持url参数变异，请求头变异，body参数变异，用户可自定义字段是否可变异。

详实的测试报告
测试报告内容详实，WEB漏扫报告包括：风险URL，风险详情，风险危害，请求响应，及具体修复建议。API模糊测试报告包括：风险API地址、请求内容、 接受内容、风险状态、发现时间。此外还可以根据客户实际需求，更新优化漏洞报告，高效可视化呈现分析结果。

灵活的交付方式
支持多种交付部署方式，客户侧私有化部署，无需联网，所有数据位于私有服务器上，数据安全亲自掌控。在线SaaS服务，节省硬件及场地开支，不再为服务器维护费心，尽享服务。

易察WEB和API模糊测试系统的防护体系贯穿整个生命周期，在API的设计和开发阶段，可以对API的安全性进行良好的构建和设计；可以提供全面的API风险管控，基于模糊测试的APIfuzzing应用接口安全测试，发现稳定性及安全性问题，全面保障API接口安全；同时提供政企网站安全保障，全方位检测政企网站风险，支持对常见Web 漏洞扫描，帮助客户解决网站安全隐患，安全再加固。

目前，易察WEB和API模糊测试系统作为安般科技旗下重要的安全产品之一，已在金融、政府、互联网等众多行业得到了广泛应用。例如已成功与国内某金融产权交易平台达成合作，帮助其交易平台发现了31个高中危风险漏洞，并提供了详细的POC漏洞验证过程和修复建议，极大地提升了客户系统的整体安全性和可靠性；通过易察系统对某客户内网系统进行API模糊测试，发现了数百个风险API地址，并提供了详细的漏洞信息，帮助其完成漏洞的复现和修复。未来安般科技将在产品功能上继续精益求精，探索更先进的测试技术，在WEB和API安全领域发挥更大的作用。

[课程]Linux pwn 探索篇！