DevSecOps Talks

Autoswagger: анализ API

Всем привет!

Autoswagger – open-source инструмент, который позволяет находить простые проблемы с авторизацией в API.

Да, это достаточно «простая» уязвимость, однако, она все еще часто встречается. Кроме того, для ее эксплуатации не надо обладать какими-то редкими компетенциями, что делает ее еще опасней.

Autoswagger использует OpenAPI schema для получения представления об API. На основе собранных данных он сканирует API и находит endpoints, в которых нет проверки токена.

Дополнительно он может находить чувствительную информацию (номера телефонов, адреса, имена и т.д.) и/или секреты (с использованием регулярных выражений).

Подробнее про Autoswagger можно узнать из GitHub-репозитория или из статьи. Кстати, в ней приведены реальные примеры использования утилиты и что получилось найти с ее помощью.

GitHub

GitHub - intruder-io/autoswagger: Autoswagger by Intruder - detect API auth weaknesses

Autoswagger by Intruder - detect API auth weaknesses - intruder-io/autoswagger

www.tgoop.com/devsecops_weekly/1336

1.85K viewsOct 14 at 04:24

Autoswagger: анализ API

Всем привет!

Autoswagger – open-source инструмент, который позволяет находить простые проблемы с авторизацией в API.

Да, это достаточно «простая» уязвимость, однако, она все еще часто встречается. Кроме того, для ее эксплуатации не надо обладать какими-то редкими компетенциями, что делает ее еще опасней.

Autoswagger использует OpenAPI schema для получения представления об API. На основе собранных данных он сканирует API и находит endpoints, в которых нет проверки токена.

Дополнительно он может находить чувствительную информацию (номера телефонов, адреса, имена и т.д.) и/или секреты (с использованием регулярных выражений).

Подробнее про Autoswagger можно узнать из GitHub-репозитория или из статьи. Кстати, в ней приведены реальные примеры использования утилиты и что получилось найти с ее помощью.

BY DevSecOps Talks