新增对API未授权访问漏洞的检测功能
在官方发布的雳鉴IAST更新内容中,针对API安全相关功能成为一大重点。
安全419在同默安科技的沟通中了解到,雳鉴IAST在针对API安全方面的能力主要体现在两个方面,一是API的发现功能,可以实现对目标应用的已知和未知API进行全量发现并创建完整的API目录;另一方面则是本次更新中实现了对API未授权访问漏洞的检测。具体到未授权访问漏洞,则是指需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露的问题。
随着数字化时代的来临,API的数量和复杂度不断提升,作为服务连接的桥梁,其相关风险也同步增长。如去年微博3.5亿条数据泄露事件就是来自于APP端的API被非法流量调用所致,今年4月闹得沸沸扬扬的Facebook平台的5亿用户数据泄露在事后也被认定为业务接口泄露所导致的。这一系列事件都表明,API安全已经成为当前数字经济时代下安全建设中不可忽视的一环。
关于是否会在接下来的一段时间中保持对API安全的关注,并在旗下产品中继续增加相关功能这一问题,默安科技表示,未来将会依靠在IAST技术的积累,根据已服务客户的实际需求,继续投入和重点关注API安全中如数据泄露风险等。
新增对测试过程中脏数据的拦截功能
据默安科技介绍,黑盒测试和IAST的主动插桩模式都是基于发送payload、重放流量的检测原理,检测过程中不可避免地给被测应用造成数据污染。大量脏数据不但会占用服务器端资源,影响被测服务器性能,同时应用数据库中的大量垃圾数据也会严重影响服务的正常测试流程与进度。
而在本次雳鉴IAST的更新中,IAST主动插桩借助运行在应用内部的Agent探针监测应用处理流程,精准识别重放流量时所产生的大量脏数据并进行拦截,保证安全测试的临时数据不落地、不入库,避免影响功能测试,做到业务先行。
在对大量行业客户的普遍痛点问题进行调研后,通过对雳鉴IAST的功能更新,默安从安全和业务两个角度,较好地解决了API未授权访问的检测和主动插桩中脏数据拦截两大技术难题,在提高安全测试覆盖度的同时,保证工具与方案在功能细节上的切实可落地。
京公网安备 11010802033237号
