信息化觀察網(wǎng)

伴隨云計算、大數(shù)據(jù)、人工智能等技術的蓬勃發(fā)展，移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)產業(yè)加速創(chuàng)新，移動設備持有量不斷增加，Web應用、移動應用已融入生產生活的各個領域。在這一過程中，應用程序接口（Application Programming Interfaces，簡稱API）作為數(shù)據(jù)傳輸流轉的重要通道發(fā)揮著舉足輕重的作用。

API技術不僅是企業(yè)與客戶溝通的橋梁，還承擔著不同復雜系統(tǒng)、組織機構之間數(shù)據(jù)交互、傳輸?shù)闹厝巍ＴS多大公司，尤其是那些擁有大量在線業(yè)務的公司，在其基礎架構中都嵌入了數(shù)百，甚至數(shù)千個API。

然而，在API技術帶來積極作用的同時，與其相關的數(shù)據(jù)安全問題也日益凸顯。如今，API已成為攻擊者最喜歡的目標之一，他們能夠破壞API，并將這些漏洞用于新目的，例如數(shù)據(jù)泄露或進一步滲透到目標網(wǎng)絡中。

根據(jù)網(wǎng)絡安全公司Akamai的安全研究，近75%的現(xiàn)代憑證攻擊都是針對易受攻擊的API。更糟糕的是，問題正變得越來越嚴重。Gartner研究報告顯示，到2022年，涉及API的漏洞將成為所有網(wǎng)絡安全類別中最常受到攻擊的媒介。

10大主流API檢測工具

API檢測作為一種用程序或工具來發(fā)送數(shù)據(jù)，同時驗收系統(tǒng)返回值的方法，是實現(xiàn)持續(xù)集成，并保持DevOps實踐的重要組成部分。一些API檢測工具旨在執(zhí)行單一功能，例如映射特定Docker API配置不當?shù)脑?；其他一些工具則對整個網(wǎng)絡采取更全面的方法，幫助企業(yè)識別錯誤、漏洞和過多的權限。

下面就為大家介紹6款主流的商業(yè)API檢測平臺，以及4款免費或低成本的開源工具。

商業(yè)API檢測工具和平臺

01

APIsec

APIsec平臺就像一個針對API的滲透工具，可以在開發(fā)階段部署，同時對API進行編程。該平臺只需幾分鐘即可完成對正在構建應用程序的全面掃描，而且其結果完全可與過去需要數(shù)天或數(shù)周才能完成的老式滲透測試相媲美。此外，盡管很多工具都可以掃描腳本注入等典型攻擊的常見漏洞，但APIsec會對目標API的各個方面進行壓力測試，以確保從核心網(wǎng)絡到各個端點都能免受API代碼中漏洞的影響。

02

AppKnox

AppKnox能夠檢測所有可能導致API中斷或被破壞的常見問題，例如HTTP請求中的命令注入漏洞、跨站點跟蹤和SQL注入漏洞等。這包括對Web服務器、數(shù)據(jù)庫和服務器上所有與API交互的組件完整性分析。AppKnox先通過掃描定位API，用戶再選擇提交哪些API進行進一步檢測，最后再將結果提交給安全研究人員進行高級分析，這一過程通常需要三到五天。

03

Data Theorem API Secure

Data Theorem API Secure平臺旨在適應任何持續(xù)集成和持續(xù)交付/部署（CI/CD）環(huán)境，以在開發(fā)的每個階段和生產環(huán)境中為API提供持續(xù)的安全性。其分析器引擎不斷在網(wǎng)絡中搜索新的API，并可以快速識別未經(jīng)授權的API或屬于組織“影子IT”（shadow IT）部分的API。

該分析器引擎能夠不斷學習有關API的最新漏洞，并不斷檢測受保護的資產。它適用于本地和云環(huán)境，以確保任何API都不會淪為最新威脅的受害者。為了保持CI/CD管道順暢，Data Theorem API Secure還提供自動修復能力，無需人工干預。

04

Postman

Postman作為構建安全API的完整協(xié)作平臺，能夠被數(shù)百萬在Windows、Linux和iOS環(huán)境中工作的開發(fā)人員使用。Postman為開發(fā)人員提供一套完整的API工具，以便在設計新API時使用，它還為企業(yè)或組織的后續(xù)代碼提供安全存儲庫，以確保新API從一開始就保持嚴格的安全性和組織標準。

當應用程序代碼偏離企業(yè)或組織的安全模板或包含潛在漏洞時，Postman還可以提供安全警告。這樣，問題就可以在API進入生產環(huán)境之前得到解決。更為關鍵的是，如果企業(yè)或組織不想編寫代碼，也可以通過Postman進行API測試。也就是說，對于那些不想在集成開發(fā)環(huán)境中使用代碼的初學者來說，Postman是其進行API檢測的最佳選擇之一。

05

Smartbear ReadyAPI

Smartbear ReadyAPI平臺可以導入幾乎任何規(guī)范或模式，以使用最流行的協(xié)議檢測API。大體來說，ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等，并且可以在API上線之前就在從開發(fā)到質量保證的任何環(huán)境中運行。ReadyAPI可以通過單擊執(zhí)行API安全分析，并支持其他關鍵功能，例如查看API處理意外負載或使用量突然激增的能力。它還可以記錄實時API流量，并進行獨特環(huán)境的配置。

06

Synopsys API Scanner

Synopsys API Scanner除了安全測試之外，還將模糊測試作為其深度掃描和測試套件的一部分。Synopsys API Scanner模糊測試引擎向API發(fā)送數(shù)以千計的意外、無效或隨機輸入，以查看它們的行為方式，或者檢測它們在遇到諸如非常大的數(shù)字或奇數(shù)命令之類的事情時是否會崩潰。

Synopsys API Scanner還繪制了整個API的所有路徑和邏輯，包括適用的所有端點、參數(shù)、身份驗證和規(guī)范。這讓開發(fā)人員能夠清楚地了解API可以執(zhí)行哪些功能。此外，它還清楚地說明了為什么API可能會受到意外行為或安全漏洞的影響。

開源API檢測工具

雖然開源工具通常無法提供與商業(yè)產品相同的支持服務，但因其免費和易用，受到用戶的廣泛認可，有經(jīng)驗的開發(fā)人員可以輕松地部署，以支持或提高其API的安全性。根據(jù)開源社區(qū)數(shù)據(jù)，以下是一些較受歡迎的產品。

07

Astra

Astra主要專注于表述性狀態(tài)傳遞（REST）API，可以自動檢測并測試登錄&注銷功能（認證API），因此任何人都可以輕松將其集成到CI/CD管道中，并在開發(fā)周期的早期階段幫助檢測及修復安全漏洞。不過，Astra針對REST API的滲透測試則比較難實現(xiàn)，因為它們經(jīng)常不斷變化。鑒于REST架構強調組件之間交互的可擴展性，隨著時間的推移保持REST API的安全性可能更具挑戰(zhàn)性。

08

crAPI

crAPI工具名字取得很糟糕，但它有效地執(zhí)行了作為API包裝器的功能。它是少數(shù)可以連接到目標系統(tǒng)，并為根客戶端的默認處理程序集提供基本路徑的包裝器之一。crAPI無需創(chuàng)建任何新連接即可完成此操作，這使得高級API開發(fā)人員可以節(jié)省大量時間。

09

Apache JMeter

Apache JMeter用Java編寫，起初是作為Web應用程序的負載測試器，最近幾乎可用于任何應用程序、程序或API。它可以檢測靜態(tài)或動態(tài)資源的性能，也可以生成大量真實流量的模擬負載，以便開發(fā)人員了解API在壓力下的表現(xiàn)。

10

Taurus

Taurus提供一種將獨立API檢測程序轉變?yōu)檫B續(xù)測試的簡單方法。Taurus操作起來很簡單，企業(yè)或組織只需安裝它，創(chuàng)建一個配置文件就能讓檢測工具發(fā)揮作用。企業(yè)或組織還可以通過Taurus找到生成交互式報告的方法，以及創(chuàng)建更復雜的場景，設置標準以便企業(yè)或組織立即修復發(fā)現(xiàn)的問題。

總體來說，商業(yè)工具會提供更多的支持選項，可以通過云或作為一項服務進行遠程部署。不過，一些開源工具的表現(xiàn)同樣出色，得到了用戶社區(qū)的廣泛支持。企業(yè)可以根據(jù)自身需求、IT團隊的安全專業(yè)能力和預算進行抉擇。