Ich bin sehr neu in Sicherheitstests.
Es wäre sehr hilfreich, wenn jemand Open-Source-/kostenlose Tools vorschlagen kann, die Scans für Sicherheitsprobleme (z. B. SQL-Injection) auf REST-APIs ausführen können, die JSON-Anforderungen verwenden.
Einige Dienste verwenden auch OAUTH.
Danke
Hier finden Sie die folgenden Tools, die SQL-Injection-Schwachstellen in Webanwendungen erkennen können:
sqlmap
- ein Open-Source-Penetrationstest-Tool, das den Prozess der Erkennung und Ausnutzung von SQL-Injection-Fehlern automatisiert.Tools für Web-Penetrationstests finden Sie unter: Testen eines Servers auf Sicherheitslücken
Informationen zu PHP-Malware-Scannern finden Sie unter: Malware-Scanner für Website-Code?
Die folgenden Tools und Frameworks können verwendet werden, um Sicherheitstests für die RESTful-API durchzuführen
ZAP-API-Scan
https://github.com/zaproxy/zaproxy/wiki/ZAP-API-Scan
VOOKI – RestAPI-Schwachstellen-Scanner:
Vooki ist ein kostenloser RestAPI Vulnerability Scanner. Es ist ein benutzerfreundliches Tool, mit dem Sie den REST einfach über die GUI scannen können. Es verfügt über eine Speicherfunktion, mit der Sie den Scan wiederholen können, um zu überprüfen, ob die gemeldete Schwachstelle behoben wurde oder nicht.
Sie können hier herunterladen https://www.vegabird.com/vooki/
Astra
Astra kann Anmeldung und Abmeldung (Authentifizierungs-API) automatisch erkennen und testen, sodass es für jeden einfach ist, dies in die CICD-Pipeline zu integrieren. Astra kann die API-Sammlung als Eingabe verwenden, sodass dies auch zum Testen von APIs im Standalone-Modus verwendet werden kann.
https://github.com/flipkart-incubator/Astra
Fuzzpi
Fuzzapi ist eine Schienenanwendung, die API_Fuzzer verwendet und eine UI-Lösung für Gem bereitstellt.
https://github.com/Fuzzapi/fuzzapi
Burp-Suite Sie können Burp verwenden, um eine REST-API zu testen
https://support.portswigger.net/customer/portal/articles/2898216-using-burp-to-test-a-rest-api
Nikolaus Raul
Samarth