Soy muy nuevo en pruebas de seguridad.
Será muy útil si alguien puede sugerir herramientas de código abierto/gratuitas que puedan ejecutar escaneos en busca de problemas de seguridad (EG SQL Injection) en API REST que usan solicitudes JSON.
Algunos servicios también usan OAUTH.
Gracias
Encuentre las siguientes herramientas que pueden detectar vulnerabilidades de inyección SQL en aplicaciones web:
sqlmap
- una herramienta de prueba de penetración de código abierto que automatiza el proceso de detección y explotación de fallas de inyección SQL.Para conocer las herramientas de prueba de penetración web, consulte: Probar un servidor en busca de vulnerabilidades de seguridad
Para los escáneres de malware PHP, consulte: ¿Escáner de malware para código de sitios web?
Las siguientes herramientas y marcos se pueden usar para realizar pruebas de seguridad para la API RESTful
Escaneo de API ZAP
https://github.com/zaproxy/zaproxy/wiki/ZAP-API-Scan
VOOKI – Escáner de vulnerabilidades RestAPI:
Vooki es un escáner de vulnerabilidades RestAPI gratuito. Es una herramienta fácil de usar que puede escanear fácilmente el REST usando GUI. Tiene una función de guardado que puede repetir el escaneo para verificar si la vulnerabilidad informada se ha solucionado o no.
Puede descargar aquí https://www.vegabird.com/vooki/
Astra
Astra puede detectar y probar automáticamente el inicio y cierre de sesión (API de autenticación), por lo que es fácil para cualquiera integrar esto en la canalización de CICD. Astra puede tomar la recopilación de API como entrada, por lo que también se puede usar para probar API en modo independiente.
https://github.com/flipkart-incubator/Astra
Fuzzapi
Fuzzapi es una aplicación de rieles que usa API_Fuzzer y proporciona una solución de interfaz de usuario para gemas.
https://github.com/Fuzzapi/fuzzapi
Suite Burp Puede usar Burp para probar una API REST
https://support.portswigger.net/customer/portal/articles/2898216-using-burp-to-test-a-rest-api
Nicolás Raúl
Samarth