我们有一个在端口 443 上运行 REST API 的服务器。我想通过对其进行各种渗透测试来确保它是安全的。我习惯于在可以查看代码和 URL 并找到要测试的表单的网页上进行攻击性测试。但是在测试 API 时我完全失明了。我什至不知道要测试的有效 URL 是什么。有没有关于如何做到这一点的好的文档,也许使用 Kali Linux?
如何对 REST API 进行渗透测试?
信息安全
渗透测试
休息
api
2021-08-10 11:18:21
1个回答
这个问题和答案提供了一个很好的起点,可以找到很好的工具和技术来测试这些接口——API 安全测试方法
如果我是你,我会避免远程测试 REST 接口或 API 的安全性,或者通过动态应用安全测试等黑盒技术。您需要分析设计决策(这篇博文是 .NET 代码示例和组件建议的绝佳参考)和/或执行安全代码审查。我常用来执行安全代码审查的一种工具是Find Security Bugs。对于分析组件,有OWASP 依赖检查(支持多种语言)、用于 Ruby的 bundler-audit 、用于 JavaScript 的Retire.js(或Snyk.io)以及用于 .NET 项目的OWASP SafeNuGet 。
其它你可能感兴趣的问题