Arsenal de herramientas para auditar la seguridad de tu API

By @raulrenales & @db3rn4l

En las últimas fechas mi compañero David (@db3rn4l) estamos trabajando con diferentes APIs auditando su seguridad, en este sentido creamos este post para tener un arsenal de herramientas que nos permitan trabajar en las auditorias de este tipo.

Recursos Gratuitos:

• Susanoo (https://github.com/ant4g0nist/Susanoo: Formatos de entrada y salida configurables, Scanner de vulnerabilidades: IDOR, Auth issues, SQLi,Error stacks. Smoke Scan.
• AppSecurityApi (https://github.com/01org/AppSecurityApi)
• SOAPui (https://www.soapui.org/) (Aporte de @kinomakino)
• ZapProxy (https://zaproxy.blogspot.com/2017/04/exploring-apis-with-zap.html)
• ASTRA (Ver nuestra Review) (https://github.com/flipkart-incubator/Astra): Multiples vulnerabilidades: Sqli, XSS, Information leak, Broken auth, CSRF, Rate limit, CORS, JWT atack, CRLF detection, Blind XXEi.
• Vooki: (Ver nuestra Review) escáner de vulnerabilidades de aplicaciones web gratuito que nos brinda un informe de escaneo perfecto sobre las redes escaneadas, las aplicaciones. Es una herramienta fácil de usar que puede escanear fácilmente cualquier aplicación web y encontrar vulnerabilidades de seguridad. Vooki incluye el escáner de aplicaciones web, el escáner API Rest y la sección de informes. (https://www.vegabird.com/vooki/) (Aporte de Jorge Enrique Zipa - https://www.linkedin.com/in/jorge-zipa/)
• RestClient: Firefox-addon (https://addons.mozilla.org/es/firefox/addon/restclient/) - RESTClient admite todos los métodos HTTP RFC2616 (HTTP / 1.1) y RFC2518 (WebDAV). Puede construir una solicitud HTTP personalizada (método personalizado con recursos URI y cuerpo de solicitud HTTP) para probar directamente las solicitudes en un servidor.
• FuzzAPI (https://github.com/Fuzzapi/fuzzapi)
• Postman: (https://www.postman.com/)
• Apisecurity.io: Las últimas noticias de seguridad API, vulnerabilidades y mejores prácticas (https://apisecurity.io/)

Recursos de lectura:

• https://blog.gfi.es/seguridad-en-tus-apis/
• https://www.adictosaltrabajo.com/2017/09/25/securizar-un-api-rest-utilizando-json-web-tokens/
• http://blog.intothesymmetry.com/2015/12/top-10-oauth-2-implementation.html

Artículos relacionados de este Blog:

• OWASP API TOP 10: https://honeysec.blogspot.com/2020/01/owasp-api-security-top-10.html
• ASTRA: https://www.linkedin.com/pulse/auditoria-de-api-rest-david-bernal/
• VOOKI: https://honeysec.blogspot.com/2020/01/vooki-rest-api-scanner.html
• CABECERAS: https://honeysec.blogspot.com/2020/02/como-configurar-las-cabeceras-de.html

Nota: Iremos editando y ampliando este post con las herramientas que vayamos encontrando y con algunas operativas de uso de las mismas.