web-dev-qa-db-fra.com

Comment testez-vous au stylo une API REST?

Nous avons un serveur qui exécute une API REST sur le port 443. Je voudrais m'assurer qu'il est sécurisé en effectuant divers tests de plume dessus. J'ai l'habitude de faire des tests offensifs sur un page Web où je peux voir le code et les URL et trouver des formulaires à tester. Mais je suis complètement aveugle lors du test d'une API. Je ne sais même pas quelles URL valides pour tester. Y a-t-il une bonne documentation sur la façon de faire cela, peut-être en utilisant Kali Linux?

20

Sécurité REST et Sécurité API sont d'excellents sujets de recherche.

Cette question et les réponses fournissent de bons points de départ pour trouver d'excellents outils et techniques pour tester ces interfaces - Méthodologies de test de sécurité API

Si j'étais vous, j'éviterais de tester une interface REST ou la sécurité d'une API à distance, ou via une technique de boîte noire comme les tests de sécurité d'application dynamique. Ce que vous voulez, c'est analyser la conception décisions (ce article de blog est une excellente référence avec des exemples de code .NET et des recommandations de composants) et/ou effectuer un examen de code sécurisé. Un outil que je utiliser pour effectuer des révisions de code sécurisé est Rechercher des bogues de sécurité . Pour analyser les composants, il y a Vérification de la dépendance OWASP (avec prise en charge de plusieurs langues), bundler-audit pour Ruby, Retire.js (ou Snyk.io ) pour JavaScript et OWASP SafeNuGet pour les projets .NET.

22
atdre