it-swarm.com.de

Wie testest du eine REST API)?

Wir haben einen Server, auf dem eine REST API) auf Port 443 ausgeführt wird. Ich möchte sicherstellen, dass es sicher ist, indem ich verschiedene Pen-Tests daran durchführe. Ich bin es gewohnt, anstößige Tests an einem durchzuführen Webseite, auf der ich Code und URLs sehen und Formulare zum Testen finden kann. Beim Testen einer API bin ich jedoch völlig blind. Ich weiß nicht einmal, gegen welche gültigen URLs getestet werden muss. Gibt es eine gute Dokumentation dazu? dies, vielleicht mit Kali Linux?

20

REST Security und API Security sind hervorragende Forschungsthemen.

Diese Frage und die Antworten bieten gute Ausgangspunkte, um großartige Tools und Techniken zum Testen dieser Schnittstellen zu finden - API Security Testing Methodologies

Wenn ich Sie wäre, würde ich es vermeiden, eine REST -Schnittstelle oder die Sicherheit einer API aus der Ferne oder über eine Black-Box-Technik wie dynamische App-Sicherheitstests zu testen. Sie möchten das Design analysieren Entscheidungen (dieser Blog-Beitrag ist eine großartige Referenz mit .NET-Codebeispielen und Komponentenempfehlungen) und/oder führen eine Überprüfung des sicheren Codes durch. Ein Tool, das ich üblicherweise zur Durchführung der Überprüfung des sicheren Codes verwende, ist Find Security Bugs . Für die Analyse von Komponenten gibt es OWASP Dependency Check (mit Unterstützung für mehrere Sprachen), Bundler-Audit für Ruby, Retire.js (oder Snyk.io ) für JavaScript und OWASP SafeNuGet für .NET-Projekte.

22
atdre