公司介绍
十款优异API安好测试器材
发布日期:2022-08-07 14:25    点击次数:68
 

应用编程接口已成为袭击者溺爱的目的。本文所列器材战役台(不管商业照旧开源)可协助企业识别舛误、马脚和权限分派过大等成就。

应用编程接口(API)是大大都今世顺序和应用的关键部份。现实上,云陈列和移动应用都极度寄托于API,假定不消API打点普遍各处的组件,云陈列和移动应用都将成为泡影。得多大公司,尤为是那些拥有大量在线业务的公司,以至在其根抵设置配备摆设中嵌入了成百上千个API。API的促成只会延续加速。

API的巧妙的地方在于,大大都API只是一小段代码,并且全体API在网络资源需要方面都很精简,险些无感。更妙的是,API还很灵巧,纵然所交互或掌握的顺序发生更动,比喻打上了补钉,API也能延续运行并执行其次要功用。

但纵然云云使人神驰,API也存在自身的缺点。因为可将API策画成兴许执行险些全体使命,不管是接续重复的繁多功用,照旧精妙掌握种种顺序或平台的低档操作,所以险些没有任何标准来打点API的编写。绝大大都API都是合营的,得多企业就是痛处需要接续创立新的API。这对安好团队来说兴许是一场噩梦。

袭击者看中API的另外一方面是,得多API被赋予了适量的权限。纵然只执行少数功用的API平日也具有险些相当于打点员的权限。其中主见主张是:API那末小,能有多大害呢?黑客就不这么想了,他们会侵入API,尔先行使这些权限/凭据搞事变,譬如数据泄露,或许进一步渗透渗出网络。痛处安好公司阿卡迈举行的安好研究,近75%的今世凭据袭击针对不足防护的API。

成就越来越重大。Gartner瞻望,2022年,全体网络安好类别中,奔忙及API的马脚将成为至多见的袭击渠道。

API测试器材成救星

关键网络和顺序组件被袭击者盯上就够糟糕的了,落到API身上,情形却更为糟心,因为API的创立基本没有标准可依。得多企业兴许压根儿不晓得自身应用了几多API,也不清楚这些API都在干些什么,或许拥有多高的权限级别,更遑论API里是否存在马脚的成就了。

安好行业和私人团体推出API测试器材战役台来协助经管这些成就。一些测试器材旨在执行繁多功用,譬如锚定特定Docker API设置欠妥的启事。其他器材则对全副网络采取更单方面的编制,征采API,尔后供应答付API功用的信息,给出API兴许存在马脚或权限适量成就的启事阐发。

而今有几个知名的商业API测试平台和大量收费或低成本的开源器材可供应用。商业器材平日具有更多的支持选项,并且可以或许经由过程云或许以至作为服务举行近程陈列。一些开源器材兴许在功用上堪比商业器材,还具有来自器材研发用户社区的支持。具体抉择何种器材取决于你的需要、公司IT团队的安好业余知识和你的预算。

下面我们列出市面市面上几款顶级商业API测试器材及其次要功用,以及部份优异的开源器材。

商业API测试器材与平台 APIsec

APIsec可看做是针对API的渗透渗出测试器材。得多器材可以或许扫描用于脚本注入等典范袭击的罕见马脚,但APIsec重在测试目的API的各个方面,确保从焦点网络到拜访焦点网络的端点都免于遭受API代码马脚影响。

APIsec的一大劣势是可以或许在API开发阶段就陈列上。对构建进程中的应用执行单方面扫描只需要几分钟,但其终局可媲美夙昔需要数天或数周材干实现的老式渗透渗出测试。

AppKnox

AppKnox对置办并陈列了其平台的用户助益得多。联结其易于应用的界面,AppKnox堪称没有大型安好团队专门担当API的公司的理想抉择。AppKnox经由过程扫描定位在临蓐情形、端点或任何兴许陈列的地方的API。定位后,用户可以或许抉择API提交,举进步一步的测试。

AppKnox测试全体兴许导致API中缀或被破坏的罕见成就,譬如HTTP要求敕令注入马脚、跨站跟踪和SQL注入马脚。测试蕴含对Web服务器、数据库和服务器上与API交互的全体组件的完备阐发。

执行了API扫描后,用户可将其测试终局提交给人类安好研究员举行低档阐发,低档阐发进程平日需要三到五天。

Data Theorem API Secure

Data Theorem API Secure平台旨在适应任何延续集成和延续交付/陈列(CI/CD)情形,公司介绍从而在开发的每个阶段和临蓐情形中为API供应延续的安好。该阐发器引擎会延续征采网络,查找新的API,并倏地识别未授权API或属于公司影子IT的那些API。

阐发器引擎会自动采集最新的涉API马脚信息,着实接续测试其呵护领域内的资产。Data Theorem API Secure外埠情形和云情形都实用,可以或许确保没有API会沦为最新利诱的受害者。为对立CI/CD进程清楚流畅,Data Theorem API Secure供应自动修复所缔造成就的功用,无需人工过问。云云一来,只需兴许适应高度自动化,企业就能确保所用API可抵当最新的利诱。

Postman

Postman齐全具有作为API测试器材的资格,但其更为人所知的名号却是打造安好API的全套协作平台。数百万Windows、Linux和iOS开发人员应用Postman不是没有启事的。

Postman为开发人员供应了一整套API器材供策画新API应用,还为企业供应了安好的存储库,让企业可以或许定心存储逐渐积攒的代码。应用安好存储库可以或许确保未来的API从一同头就对立严厉的安好和构造标准。

Postman供应的事变区旨在协助开发人员构造自身事变。假定应用代码起头偏离公司建立的安好模板或包孕潜伏马脚,Postman还可以或许收回安好正告。这样就能远早于成就进入临蓐情形从前防患于已然。

Smartbear ReadyAPI

除了安好测试之外,Smartbear ReadyAPI平台还旨在优化API在任何情形中的应用和性能。Smartbear ReadyAPI支持一键执行API安好阐发,也还支持其他关键功用,譬如查察API处理惩罚非预期负载或应用量突增的性能。

还可以或许设置ReadyAPI,令其生成API需处理惩罚的特定范例流量。ReadyAPI还可以或许记载实时API流量,以便校准未来的测试,针对将在其中运行的合营情形加以设置。其他,该平台可以或许导入险些任何标准或情势,让用户可应用最流行的和谈测试API。外埠ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等,且可早在API上线从前运行于从开发到品格担保的各个情形。

Synopsis API Scanner

Synopsis API Scanner之所以云云强盛,其中一个启事就在于,除了安好测试之外,该器材还在其深度扫描与测试套件中领悟了含糊测试。含糊测试引擎向API发送数以千计的非预期输入、无效输入或随机输入,查察这些API的动作编制,或许窥察其在遇到超大数字或很是敕令之类的事变时是否会崩溃。

该引擎还可绘制全副API的全体门路和逻辑,蕴含全体实用的端点、参数、认证和标准。应用该引擎,开发人员可以或许清楚地看到自身期冀中API该当要执行的功用,与它们偶尔间理论执行的功用之间,存在哪些差异。这昭示了为何API兴许会受到意熟手动或安好马脚的影响。

开源API测试器材

尽管开源器材的支持平日不如商业产品,有经历的开发人员仍然可以或许很轻松地陈列这些开源器材(每每是收费的),用来增强或改良其API的安好。下面我们例举几款在开源社区备受推崇的API安好测试器材。

Astra

Astra次要专注于表征形态转移(REST)API。这种API因为常常接续变换,极难堪以回护安好。鉴于REST架构风格夸大组件之间交互的可扩张性,随着时光的推移,对立REST API安好兴许很具寻衅性。Astra的效果在于协助集成进CI/CD流水线,举行查抄,确保罕见马脚不会蔓延到所谓的安好REST API中。

crAPI

crAPI是可以或许跟尾到目的体系并应用根客户端默认处理惩罚顺序集供应根抵门路的少数封装器之一,并且无需创立任何新跟尾即可实现此操作。低档API开发人员可以或许之减省大量时光。

Apache JMeter

Apache JMeter显明是用Java编写的,最初用作Web应用的负载测试器,但比来扩张到险些可以或许用于任何应用、顺序或API。Apache JMeter精巧的套件可以或许测试静态或静态资源的性能。它可以或许大量生成着实流量的仿照负载,供开发人员缔造其API在压力下的表现。

Taurus

Taurus可以或许很方便地将独立API测试顺序转换为间断测试操作。从详情上看,Taurus俭朴易用。按部就班好Taurus,创立一个设置文件,就能让测试器材各司其职了。再深入相识一下,你可以或许找到生成交互式报告的编制,创立更宏壮的场景来测试API,还可以或许设置体系毛病标准,从而可以或许登时切入并修复缔造的成就。