viernes, 22 de noviembre de 2019

Arsenal de herramientas para auditar la seguridad de tu API



By @raulrenales & @db3rn4l

En las últimas fechas mi compañero David (@db3rn4l) estamos trabajando con diferentes APIs auditando su seguridad, en este sentido creamos este post para tener un arsenal de herramientas que nos permitan trabajar en las auditorias de este tipo.


Recursos Gratuitos:


  • Susanoo (https://github.com/ant4g0nist/Susanoo: Formatos de entrada y salida configurables, Scanner de vulnerabilidades: IDOR, Auth issues, SQLi,Error stacks. Smoke Scan.
  • AppSecurityApi (https://github.com/01org/AppSecurityApi)
  • SOAPui (https://www.soapui.org/) (Aporte de @kinomakino)
  • ZapProxy (https://zaproxy.blogspot.com/2017/04/exploring-apis-with-zap.html)
  • ASTRA (https://github.com/flipkart-incubator/Astra): Multiples vulnerabilidades: Sqli, XSS, Information leak, Broken auth, CSRF, Rate limit, CORS, JWT atack, CRLF detection, Blind XXEi.
  • Vooki: escáner de vulnerabilidades de aplicaciones web gratuito que nos brinda un informe de escaneo perfecto sobre las redes escaneadas, las aplicaciones. Es una herramienta fácil de usar que puede escanear fácilmente cualquier aplicación web y encontrar vulnerabilidades de seguridad. Vooki incluye el escáner de aplicaciones web, el escáner API Rest y la sección de informes. (https://www.vegabird.com/vooki/) (Aporte de Jorge Enrique Zipa - https://www.linkedin.com/in/jorge-zipa/)
  • RestClient: Firefox-addon (https://addons.mozilla.org/es/firefox/addon/restclient/) - RESTClient admite todos los métodos HTTP RFC2616 (HTTP / 1.1) y RFC2518 (WebDAV). Puede construir una solicitud HTTP personalizada (método personalizado con recursos URI y cuerpo de solicitud HTTP) para probar directamente las solicitudes en un servidor.
  • FuzzAPI (https://github.com/Fuzzapi/fuzzapi)

Recursos de lectura:

  • https://blog.gfi.es/seguridad-en-tus-apis/
  • https://www.adictosaltrabajo.com/2017/09/25/securizar-un-api-rest-utilizando-json-web-tokens/


Nota: Iremos editando y ampliando este post con las herramientas que vayamos encontrando y con algunas operativas de uso de las mismas.

No hay comentarios:

Publicar un comentario