REST APIをどのようにペンテストしますか?
REST APIをポート443で実行しているサーバーがあります。さまざまなペンテストを実行して、サーバーが安全であることを確認したいのですが、攻撃的なテストには慣れていますコードとURLを確認し、テストするフォームを見つけることができるWebページ。ただし、APIをテストするときは完全に盲目です。テストする有効なURLが何なのかさえわかりません。方法についての適切なドキュメントはありますか?これは、おそらくKali Linuxを使用していますか?
REST Security および API Security は、研究の優れたトピックです。
この質問と回答は、これらのインターフェースをテストするための優れたツールとテクニックを見つけるための良い出発点を提供します API Security Testing Methodologies
私があなただったら、RESTインターフェースまたはAPIのセキュリティをリモートでテストしたり、動的なアプリのセキュリティテストなどのブラックボックス手法を使用してテストしたりすることは避けます。設計を分析することです。決定(この ブログ投稿 は.NETコードの例とコンポーネントの推奨事項の優れたリファレンスです)および/または安全なコードレビューを実行します。安全なコードレビューを実行するために一般的に使用するツールの1つは セキュリティバグの検出 。コンポーネントの分析には、 OWASP Dependency Check (多言語サポートあり)、 bundler-audit Rubyの場合 Retire.js JavaScript)の場合は (または Snyk.io )、. NETプロジェクトの場合はOWASP SafeNuGet 。