Засоби тестування безпеки API

Оцінка ризиків
Інструменти для тестування API
Fiddler
Wireshark
Metasploit Framework
Підсумки аналізу засобів тестування

З активним розвитком мікросервісов заснованих на використанні API активно з'являються проблеми в безпеці і поширюються атаки, які раніше не були помітні З активним розвитком мікросервісов заснованих на використанні API активно з'являються проблеми в безпеці і поширюються атаки, які раніше не були помітні. Оскільки робота API часто відбувається приховано і непомітно, то у розробників з'являється відчуття помилкової безпеки, коли вони вважають, що ніхто не буде морочитися і шукати уразливості в їх API. Однак API на основі HTTP / HTTPS можуть бути легко прослухані, перехоплені і дані можуть бути підмінені за допомогою загальнодоступних опенсорсний інструментів.

Оцінка ризиків

Перш, ніж починати розбір інструментів для тестування, необхідно оцінити поточні ризики в додатку. Відмінним безкоштовним ресурсом для цих цілей є "Open Web Application Security Project (OWASP)". OWASP - широко відома некомерційна організація, яка надає цілий ряд різних артефактів про web-безпеки. Один з цих артефактів називається OWASP Top 10 Web Application Security Risks, який хоч і не відноситься до API-інтерфейсів, але може допомогти в пошуку вразливостей і джерел атак. Не варто забувати, що більшість атак на додатки спрямовані на API, OWASP в свою чергу має зручну методологію з оцінки ризиків.

Інструменти для тестування API

Після того, як ви знаєте, які саме частини вашого API найбільш уразливі, ви можете повністю зосередитися на інструментах, які повинні допомогти вам убезпечити додаток.

Fiddler

Fiddler - це безкоштовний інструмент з відкритим вихідним кодом, який дозволяє контролювати, управляти і повторно використовувати HTTP-запити. Fiddler володіє широким функціоналом, за допомогою якого можна налагодити проблеми web-додатки, також можна встановити різні розширення.

Fiddler може використовуватися для різних потреб:

усунення неполадок;
тестування безпеки;
оцінки ефективності;
налагодження web-трафіку.

Fiddler вже досить давно став досить популярним інструментом серед багатьох розробників. Більшість розробників використовують його для налагодження, щоб подивитися на HTTP - запити, які їх ПК посилає на сервіс або сайт. Багато хто не знає, що Fiddler спочатку замислювався для використання в якості HTTP-проксі.

При використанні Fiddler в якості проксі можна моніторити не тільки трафік між ПК і додатком, а й між додатком і його бекенда.

Wireshark

Wireshark - інструментом аналізу протоколів. Wireshark дозволяє не тільки переглядати ваші HTTP- запити, але він може реально проаналізувати цю інформацію. Основним напрямком діяльності Wireshark є налагодження мережевих проблем, і це добре, тому що мережа є однією з найбільш важливих областей розробки програмного забезпечення. Після діагностики мережевих проблем ви зможете контролювати весь мережевий трафік додатки і досліджувати мережеві пакети, які можуть містити незашифровані конфіденційні дані.

Metasploit Framework

У той час як Fiddler і Wireshark були розроблені в основному, щоб допомогти розробникам і мережевим інженерам при усуненні мережевих проблем, Metasploit Framework був розроблений спеціально для тестування на проникнення, наприклад, атаки бази даних, браузерні атаки, атаки за допомогою експлойт-файлів і соціально - інженерні нападу. Це один з основних інструментів, що використовуються фахівцями з безпеки.

Metasploit містить набір інструментів, які можуть допомогти вам зробити різні тестування безпеки системи. Metasploit Framework містить цілий ряд різних модулів, які можуть протестувати додаток на наявність поширених вразливостей, якими користуються багато хакерів. Metasploit є програмний компонент, який виконує обрану атаку на зазначену мету.

За допомогою Metasploit, ви запускаєте команди, вибираючи модуль, який містить потрібний експлойт. Наприклад, багато REST API, в значній мірі покладаються на SSL. Використовуючи Metasploit, ви можете перевірити вашу систему, щоб побачити, як вона обробляє загальні SSL експлойти. Metasploit має сотні експлойтів, які можна використовувати, і з трьох інструментів, які розглянуті в даній статті, є найбільш складним. Зате він пропонує більшість функцій для тестування конкретної уразливості.

Підсумки аналізу засобів тестування

Як то кажуть, великі знання - велика відповідальність. Мета даної статті полягає в тому, щоб попередити вас про можливу уразливість розробляється API. Навіть, якщо ваш API не має користувальницький інтерфейсу, це не означає, що він менш схильний до злому.

Fiddler, Wireshark і Metasploit лише мала частина з безлічі доступних інструментів, які можна використовувати для тестування додатків і безпеки ваших API-інтерфейсів.