產(chǎn)品概述

Peach API Security是一種自動(dòng)化的安全測(cè)試解決方案,允許客戶根據(jù)OWASP Top-10 和 PCI Section 6.5 測(cè)試Web API。將Peach API Security集成到現(xiàn)有的持續(xù)集成(CI)系統(tǒng)中,可確保您的產(chǎn)品開發(fā)團(tuán)隊(duì)即時(shí)獲得版本的安全性反饋。在產(chǎn)品開發(fā)生命周期的早期,尋找漏洞可以為您節(jié)省時(shí)間、金錢和聲譽(yù)??蛻羰褂肞each API Security顯示和糾正其Web API中的漏洞。

為什么選擇Peach API?

?自動(dòng)化測(cè)試,能夠在產(chǎn)品開發(fā)生命周期的早期找出漏洞

?通過CI集成,可以在數(shù)小時(shí)內(nèi)發(fā)現(xiàn)問題

?可檢測(cè)產(chǎn)品是否遵循OWASP TOP 10 和 PCI

?測(cè)試過程中,把OWASP TOP 10的每個(gè)威脅和檢測(cè)漏洞一一對(duì)應(yīng)

運(yùn)行原理

Peach API Security根據(jù)OWASP Top-10中列出的要求,對(duì)Web API執(zhí)行一系列安全檢查。通過利用開發(fā)團(tuán)隊(duì)已經(jīng)執(zhí)行的自動(dòng)測(cè)試(即單元測(cè)試),Peach智能地執(zhí)行一系列模糊和被動(dòng)安全測(cè)試。一旦完成配置,交互測(cè)試將通過現(xiàn)有的構(gòu)建系統(tǒng)接口進(jìn)行。Peach API Security支持所有的REST、 SOAP和JSON RPC web API。

CI集成

Peach旨在無縫集成到現(xiàn)有的CI系統(tǒng)中。在構(gòu)建管道中作為一個(gè)步驟來執(zhí)行,Peach阻止不安全的構(gòu)建部署。 Peach的安全測(cè)試結(jié)果返回到CI系統(tǒng), 確保開發(fā)人員不必退出其當(dāng)前的構(gòu)建工具 。

Peach包括對(duì)以下CI系統(tǒng)的支持:

測(cè)試配置文件

可配置的測(cè)試配置文件允許您使用可用的測(cè)試時(shí)間進(jìn)行深度平衡測(cè)試。常見配置文件包括:

Quick–  無需模糊測(cè)試的快速測(cè)試,非常適合即時(shí)結(jié)果

Nightly –  快速測(cè)試與模糊測(cè)試,非常適合夜間架構(gòu)和快速結(jié)果

Weekly –  *測(cè)試,是主要產(chǎn)品發(fā)布和完整測(cè)試結(jié)果的理想選擇

自動(dòng)化生成測(cè)試用例

Peach API Security充當(dāng)中間人代理,捕獲由現(xiàn)有自動(dòng)測(cè)試創(chuàng)建的流量。 一旦完成捕獲,這些數(shù)據(jù)被Peach進(jìn)行模糊測(cè)試并發(fā)送到測(cè)試目標(biāo)。

流行的自動(dòng)化測(cè)試框架的集成使捕獲流量變得容易。此外,支持使用REST API、Java、.NET和Python的自定義流量生成器。

合規(guī)性測(cè)試

Peach API Security是一個(gè)全面的測(cè)試工具,用于測(cè)試OWASP Top-10和PCI第6.5部分。

OWASP  Top-10 覆蓋面

PCI  Section 6.5 覆蓋面

A1 - 注入

6.5.1 - 注入漏洞

A2 - 破壞的身份驗(yàn)證和會(huì)話管理

6.5.2 - 緩沖區(qū)溢出

A3 - 跨站腳本(XSS)

6.5.4 - 不安全的通信

A5 - 安全配置錯(cuò)誤

6.5.5 - 錯(cuò)誤處理不正確

A6 - 敏感數(shù)據(jù)暴露

6.5.7 - 跨站腳本(XSS)

A7 - 缺少功能級(jí)別訪問控制

6.5.8 - 訪問控制不當(dāng)

A8 - 跨站請(qǐng)求偽造(CSRF)

6.5.9 - 跨站請(qǐng)求偽造(CSRF

A9 - 使用已知的漏洞組件

6.5.10 - 認(rèn)證失敗

A10 - 未驗(yàn)證的重定向和轉(zhuǎn)發(fā)

 


報(bào)告

全面的測(cè)試結(jié)果使開發(fā)團(tuán)隊(duì)能夠減輕安全漏洞的風(fēng)險(xiǎn)。漏洞數(shù)據(jù)會(huì)自動(dòng)返回到CI系統(tǒng)。故障類似于自動(dòng)化故障。這使開發(fā)人員可以專注于修復(fù)代碼,而不是做出安全決策。

每個(gè)漏洞包含可操作的數(shù)據(jù),如下所示:

?故障消息數(shù)據(jù) – 用于有效地查找和減輕漏洞

?OWASP映射 – 標(biāo)識(shí)哪個(gè)OWASP Top-10需求失敗

?可利用性 – 幫助團(tuán)隊(duì)優(yōu)先處理和修復(fù)漏洞