api渗透测试之逻辑漏洞检测的方法

           作为全面方法的第一步,检查当今应用安全测试最常见的态度是静态安全测试和动态安全测试。静态安全测试采用白盒法,通过查看设计、系统结构或代码(包括数据通过应用程序时可以使用的许多复杂路径)来创建基于应用程序的已知功能测试。动态安全测试采用黑盒法,根据给定一组特定输入应用的预期性能进行测试,而不考虑内部处理或对基本代码的理解。当涉及到API时,开发者和安全团队经常争论哪种方法最合适。支持每种方法的主要推理是:

静态测试是唯一有意义的方法:因为API没有用户界面,所以我们必须知道业务逻辑中发生了什么。动态测试是所有需要的,因为单元测试采用静态模型,已经在管道的早期阶段完成。事实上,这两种方法都需要确保广泛的覆盖面和处理各种可能的情况。特别是随着基于API的攻击的兴起,在可扩展性、深度和频率方面不可能冒任何风险。

outputo-20220125-094020-490-lple.png

灰盒API安全测试可能会提供一个有趣的替代方案。因为没有用户界面,了解应用的内部工作原理(如参数、返回类型)可以有效地创建专注于业务逻辑的功能测试。理想情况下,结合API安全测试的方方面面,更接近创建灰盒解决方案,以弥补这些单独方法的弱点。这种业务逻辑方法可以智能地检查其他测试类型的结果,并适应自动或手动应用改进的测试。

是时候采用业务逻辑API安全测试方法了。业界越来越意识到,API需要在整个生命周期中得到保护,API应该放在安全控制中心的前沿和中心位置。为此,简化和简化组织的API安全测试方法,在开发周期内集成和实施API安全测试标准。这样,除了运行时的监控,安全团队还可以在一个位置查看所有已知的漏洞。作为奖励,采取措施进行左移API安全测试,将降低成本,加快修复时间。此外,自动化测试流程结束后,您还将获得重新测试的内置支持:测试、修改、重新测试和部署周期,保持管道平稳运行,完全避免瓶颈。API安全测试的业务逻辑方法可以提高API安全计划在整个生命周期的成熟度,改善安全状况。但而,这种现代方法需要一走边学的工具,通过引入运行时的数据来深入了解应用的结构和逻辑,从而随着时间的推移提高其性能。这将涉及创建一个自适应测试引擎,它可以边走边学,对API的行为有更深入的了解,从而智能地对其隐藏的内部工作进行逆向工程。使用运行时的数据和业务逻辑信息,可以享受两全其美的体验——通过自动化增强可见性和控制性的黑白盒法。

总结

除了越来越受欢迎,API也给Web应用带来了更大的漏洞。许多组织甚至不知道他们的API和漏洞的程度。已知和未知的弱点很容易被黑客通过可用的API检测到。但是API安全测试往往被忽略,和Web应用一样。大多数测试方法,如黑盒和白盒测试,都不利于API测试。自然语言处理和人工智能(AI)的结合提供了一个可行的灰盒选项,可以自动化、扩展和简化API安全测试的复杂过程。

分享: