API安全思维导图:MindAPI
星期二, 四月 13, 2021
安全研究员David Sopas发布了一个新的开源项目:MindAPI,这是一个思维导图,为API安全研究提供了丰富易用的资源。
Sopas指出:“经过多年使用,我决定实施我的API安全研究经验,并将其应用于不仅可以与网络安全社区共享,而且可以与开发人员共享的内容。”
API安全问题正在阻碍新应用程序的推出。这是可以理解的,因为与不安全的API相关的风险很多。
MindAPI思维导图的结构简单明了,而且可以在浏览器中查看。
它分为两个部分:侦察和测试(遵循OWASP API安全性Top 10指南和其他安全性指南)。
MindAPI还链接到指南、开源工具和文档,可以帮助开发人员、安全研究人员、测试人员、甚至是赏金猎人。
“在开发人员方面,他们可以测试并保护现代应用程序免受攻击者的侵害。安全人员可以使用它来破解日常评估中的API。”
该项目还列出并链接到各种资源,包括讲座、教育视频、操作指南、有趣的文章、有意攻击的应用程序等。
Sopas计划在开源社区的一些帮助下扩展MindAPI。
“这是一个永无止境的项目。每天业界都会发布新的开源工具,开发新的API技术,并且MindAPI需要进行更新以包含它们。”
对于研究API安全性的研究人员还有其他建议吗?
“从OWASP API安全项目开始。通过分析最常见的漏洞将有助于发现API存在的问题。”他说。
“此外,不要想当然地认为使用第三方API的应用程序就是安全的——开发者始终需要在其之上添加一个保护层。”
参考资料:
https://dsopas.github.io/MindAPI/