Aktuell immer wieder ein aktuelles Thema Penetration Testverfahren auch im API bzw. REST API Bereich. Neben den bekannten Lösungen wie Acunetix die von sich aus schon entsprechende Lösungen mit an Board haben, gibt es aber sehr gute Lösungen im Opensource Bereich zu finden.
In diesem Artikel möchte ich Vooki vorstellen. Vooki ist ein freier web application vulnerability scanner der neben den normalen Scann Methoden auch vertiefte Scann auf der RestAPI Ebene anbietet.
In diesem Beispiel wird der Full Scann vorgestellt:
Der Full Scan überprüft alle gesammelten URL’s (aus dem Browser). Es beinhaltet Web-Spidering und csrf-Token-Bypass. Full Scan überprüft alle Schwachstellen in Webanwendungen.
Über ein Spidering Verfahren wird ein in-depth scanning der Webseite durchgeführt. Ihr könnt die angezeigten Webseiten anhand der gesammelten URLs identifizieren, die auf der Registerkarte „Erfasste URL“ verfügbar sind. In diesem Video Beispiel ist das gut beschrieben:
Weitere Informationen findet ihr natürlich auf der Webseite des Herstellers.
Aktuell suche ich noch nach eine Integrationslösung von Vooki in eine entsprechende Jenkins Pipeline. Leider finde ich diesbezüglich keine genaueren Informationen.
Sofern sich hier etwas ergibt werde ich dazu einen eigenständigen Artikel veröffentlichen.
Neueste Kommentare