Делюсь своим опытом после сканирования 400 API

Недавно мы запустили на GitHub бесплатный веб-инструмент для мгновенного тестирования безопасности API DAST (Dynamic Application Security Testing) Ethical Check.

Вот URL GitHub для этого инструмента:
https://apisec-inc.github.io/pentest/

Какие уязвимости находит EthicalCheck?
Большинство автоматических сканеров находят такие уязвимости, как SQL-инъекции, NoSQL-инъекции, XSS и т.д.
EthicalCheck выполняет различные проверки, включая OAuth 2.0, JWT, BasicAuth, OWASP API #2, и дефекты нарушенной аутентификации в веб-, мобильных и публичных API.

Как работает EthicalCheck?

Для его работы требуется два входа:

  1. URL документации API (OpenAPI Spec/Swagger).
  2. Адрес электронной почты для получения отчета о тестировании безопасности.

После мягкого запуска на нескольких форумах разработчиков в течение последних трех месяцев. Мы и не надеялись, что количество тестов приблизится к 400.

Вот статистика:

  • Продолжительность: февраль 2022 — апрель 2022 (3 месяца).
  • Всего протестировано API: 400
  • Всего API с уязвимостями: 164
  • Всего API с 10+ уязвимостями: 16
  • Максимальное количество уязвимостей, найденных в API: 65
  • Всего уязвимостей найдено: 948
  • Общая экономия на баунти: $1,896,000 (на основе модели выплат HackerOne)
  • Общая экономия на тестировании API на проникновение: $343 000 (на основе средней стоимости тестирования на проникновение)
  • Процент API с уязвимостями: 47.9%

Вывод:
В среднем около 50% протестированных API имели уязвимости в системе безопасности. Эти уязвимости могут быть легко найдены как автоматическими ботами, так и хакерами. Нарушение безопасности стоит дорого и может стоить в геометрической прогрессии до $8,64 млн как стартапам, так и крупным организациям.
Вероятность наличия уязвимостей в вашем публичном мобильном/веб-интерфейсе составляет около 50%. Вы можете мгновенно проверить свои публичные API на наличие уязвимостей @ https://apisec-inc.github.io/pentest/.

Оцените статью
Procodings.ru
Добавить комментарий