Домой » Безопасность » Средства тестирования безопасности API

Средства тестирования безопасности API

Безопасность APIС активным развитием микросервисов основанных на использовании API активно появляются проблемы в безопасности и распространяются атаки, которые раньше не были заметны. Поскольку работа API часто происходит скрыто и незаметно, то у разработчиков возникает чувство ложной безопасности, когда они считают, что никто не будет заморачиваться и искать уязвимости  в их API. Однако API на основе HTTP/HTTPS могут быть легко прослушаны, перехвачены и данные могут быть подменены с помощью общедоступных опенсорсных инструментов.

Оценка рисков

Прежде, чем начинать разбор инструментов для тестирования, необходимо оценить текущие риски в приложении. Отличным бесплатным ресурсом для этих целей является “Open Web Application Security Project (OWASP)”. OWASP — широко известная некоммерческая организация, которая предоставляет целый ряд различных артефактов о web-безопасности. Один из этих артефактов называется OWASP Top 10 Web Application Security Risks, который хоть и не относится к API-интерфейсам, но может помочь в поиске уязвимостей и источников атак. Не стоит забывать, что большинство атак на приложения направлены на API, OWASP в свою очередь имеет удобную методологию по оценке рисков.

Инструменты для тестирования API

После того, как вы знаете, какие именно части вашего API наиболее уязвимы, вы можете полностью сосредоточиться на инструментах, которые должны помочь вам обезопасить приложение.

Fiddler

Fiddler — это бесплатный инструмент с открытым исходным кодом, который позволяет контролировать, управлять и повторно использовать HTTP-запросы. Fiddler обладает широким функционалом, с помощью которого можно отладить проблемы web-приложения, также можно установить различные расширения.

Fiddler может использоваться для различных потребностей:

  • устранения неполадок;
  • тестирования безопасности;
  • оценки эффективности;
  • отладки web-трафика.

Fiddler уже достаточно давно стал довольно популярным инструментом среди многих разработчиков. Большинство разработчиков используют его для отладки, чтобы посмотреть на HTTP – запросы, которые их ПК посылает на сервис или сайт. Многие не знают, что Fiddler изначально задумывался для использования в качестве HTTP-прокси.

При использовании Fiddler  в качестве прокси можно мониторить не только трафик между ПК и приложением, но и между приложением и его бэкэндом.

Wireshark

Wireshark — инструментом анализа протоколов. Wireshark позволяет не только просматривать ваши HTTP- запросы, но он может реально проанализировать эту информацию. Основным направлением деятельности Wireshark является отладка сетевых проблем, и это хорошо, потому что сеть является одной из наиболее важных областей разработки программного обеспечения. После диагностики сетевых проблем вы сможете контролировать весь сетевой трафик приложения и исследовать сетевые пакеты, которые могут содержать незашифрованные конфиденциальные данные.

Metasploit Framework

В то время как Fiddler и Wireshark были разработаны в основном, чтобы помочь разработчикам и сетевым инженерам при устранении сетевых проблем, Metasploit Framework был разработан специально для тестирования на проникновение, например, атаки базы данных, браузерные атаки, атаки с помощью эксплойт-файлов и социально — инженерные нападения. Это один из основных инструментов, используемых специалистами по безопасности.

Metasploit содержит набор инструментов, которые могут помочь вам произвести различные тестирования безопасности системы. Metasploit Framework содержит целый ряд различных модулей, которые могут протестировать приложение  на наличие распространенных уязвимостей, которыми пользуются многие хакеры. Metasploit представляет собой программный компонент, который выполняет выбранную атаку на указанную цель.

С помощью Metasploit, вы запускаете команды, выбирая модуль, который содержит нужный эксплойт. Например, многие REST API, в значительной степени полагаются на SSL. Используя Metasploit, вы можете проверить вашу систему, чтобы увидеть, как она обрабатывает общие SSL эксплойты. Metasploit имеет сотни эксплойтов, которые можно использовать, и из трех инструментов, которые рассмотрены в данной статье, является наиболее сложным. Зато он  предлагает большинство функций для тестирования конкретной уязвимости.

Итоги анализа средств тестирования

Как говорится, большие знания – большая ответственность. Цель данной статьи состоит в том, чтобы предупредить вас о возможной уязвимости разрабатываемого API. Даже, если ваш API не имеет пользовательский интерфейса, это не означает, что он менее подвержен взлому.

Fiddler, Wireshark и Metasploit лишь малая часть из множества доступных инструментов, которые можно использовать для тестирования приложений и безопасности ваших API-интерфейсов.

Добавить комментарий

Войти с помощью: 

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*
*