如何自动化 REST API 安全测试

开发人员和早期初创公司构建 REST API 来支持移动、Web 和 API 应用程序。大多数 API 都是面向公众的，很少经过适当的安全测试。

据 Gartner 称，API 现已成为最主要的攻击媒介，甚至超过了网络攻击、钓鱼攻击等。机器人可以扫描并检测面向公众的 API，一旦发现漏洞，就会不断利用这些漏洞。

大多数应用程序都属于合规类别，例如针对技术的 SOC 2、针对支付的 PCI DSS、针对医疗隐私的 HIPAA 以及针对消费者隐私的 GDPR/CCPA。

如果您的 API 符合上述任何合规要求，则根据这些标准，您必须持续进行安全/渗透测试，报告漏洞，并支付惩罚性赔偿。您不能再隐瞒和忽视安全问题。您必须在特定时间内报告，否则可能会付出高昂的代价。

这些标准具有相同的主要目的：保护用户数据和隐私，并确保您的应用程序/组织将安全性放在首位。

过去，以下这些因素导致开发人员跳过或延迟安全测试。
手动测试 - DAST 扫描器可以自动执行基本操作，但更深入的测试需要熟练的渗透测试人员。
昂贵 - 渗透测试成本高昂。
低质量 - 大多数渗透测试报告包含许多开发人员认为优先级较低的问题，且没有明确的补救措施说明。

我将为您推荐一些免费且自动化的解决方案，以帮助您入门：

EthicalCheck（推荐）
这是一款免费且即时的在线 API 渗透测试工具。测试非侵入式，无需注册。缺点是测试功能有限。只需指向您面向公众的 API，即可在 1 分钟内获得即时报告。此外，生成的 PDF 报告兼容 SOC 2 及其他合规性标准。

Stackhawk
提供免费和付费版本。它基于 ZAP 构建。需要注册并具备基本的安全知识。

APIsec
提供免费和付费版本。低代码平台。需要注册。涵盖 API 相关的问题，例如逻辑缺陷、访问控制、OWASP 等。