安般科技,为您的WEB及API安全构建最强防线
安般科技,为您的WEB及API安全构建最强防线
随着互联网技术的不断发展,越来越多的企业和组织通过门户网站、在线服务平台等向公众提供服务,WEB应用的重要程度不言而喻。
由于WEB应用具有访问对象开放、技术架构复杂、涉及场景多样等特点,使其长期成为攻击的第一目标。根据相关调查报告显示,信息安全攻击中超过75%都发生在WEB应用层而非网络层上,可能造成包括服务器沦陷、数据信息泄露、服务应用中断、网站内容篡改等危害结果,每年都给数以万计的用户造成了巨大的损失。
同时在万物互联的数字时代,API承载着企业核心业务逻辑和敏感数据,支撑着用户早已习惯的互动式数字体验。根据相关统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。与此同时,针对API的攻击成为了恶意攻击者的首选,相对于传统Web窗体,API的性能更高、攻击成本更低,越来越多的黑客开始利用API进行业务欺诈。
事实上,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API会带来重大的未知风险。据Gartner预测,到2022年API滥用将是最常见的攻击方式。
WEB和API应用面临着越来越大的安全压力和挑战,为其构建安全防护体系势在必行。
构建WEB及API安全防护体系势在必行
安般科技自主研发的易察WEB和API模糊测试系统是一款集成WEB漏扫,资产扫描,API模糊测试的自动化工具。
全面的漏洞覆盖
基于全面的漏洞规则库,针对WEB进行漏洞扫描,覆盖历年OWASP TOP 10的Web漏洞。具备优质 0Day/1Day/NDay 漏洞检测能力。为企业提供全面精准的漏洞扫描服务,帮助企业持续地发现对外服务的常见安全风险。
领先的API模糊测试技术
通过模糊测试引擎对URL参数,请求头,body参数进行变异,生成用例发送请求,根据响应来判断请求是否异常。具有高效模糊算法,模糊增强策略,规则检查器等技术特点。
丰富的插件库
支持检测多种类型的Web漏洞,插件易于系统的扩展,便于更多漏洞类型的后续开发 。
漏扫综合插件
漏扫补充插件
SQL注入专项检测插件
资产扫描插件
接口FUZZ插件
详实的测试报告
测试报告内容详实,WEB漏扫报告包括:风险URL,风险详情,风险危害,请求响应,及具体修复建议。API模糊测试报告包括:风险API地址、请求内容、 接受内容、风险状态、发现时间。此外还可以根据客户实际需求,更新优化漏洞报告,高效可视化呈现分析结果。
灵活的交付方式
支持多种交付部署方式,客户侧私有化部署,无需联网,所有数据位于私有服务器上,数据安全亲自掌控。在线SaaS服务,节省硬件及场地开支,不再为服务器维护费心,尽享服务。
易察WEB和API模糊测试系统的防护体系贯穿整个生命周期,在API的设计和开发阶段,可以对API的安全性进行良好的构建和设计;可以提供全面的API风险管控,基于模糊测试的APIfuzzing应用接口安全测试,发现稳定性及安全性问题,全面保障API接口安全;同时提供政企网站安全保障,全方位检测政企网站风险,支持对常见Web 漏洞扫描,帮助客户解决网站安全隐患,安全再加固。
目前,易察WEB和API模糊测试系统作为安般科技旗下重要的安全产品之一,已在金融、政府、互联网等众多行业得到了广泛应用。例如已成功与国内某金融产权交易平台达成合作,帮助其交易平台发现了31个高中危风险漏洞,并提供了详细的POC漏洞验证过程和修复建议,极大地提升了客户系统的整体安全性和可靠性;通过易察系统对某客户内网系统进行API模糊测试,发现了数百个风险API地址,并提供了详细的漏洞信息,帮助其完成漏洞的复现和修复。未来安般科技将在产品功能上继续精益求精,探索更先进的测试技术,在WEB和API安全领域发挥更大的作用。