scanning-api-security

Umiejętność do automatycznego wykrywania podatności bezpieczeństwa w API. Analizuje definicje endpointów, łańcuchy middleware oraz logikę walidacji żądań pod kątem OWASP API Security Top 10. Identyfikuje wektory injection, problemy z autentykacją, nadmierną ekspozycję danych, błędy autoryzacji na poziomie obiektów oraz brakujące ograniczenia szybkości. Pracuje ze statyczną analizą kodu źródłowego API i specyfikacjami OpenAPI.

1. Przygotuj kod źródłowy API z definicjami tras i implementacjami kontrolerów. Upewnij się, że masz dostęp do specyfikacji OpenAPI, jeśli jest dostępna, oraz zapoznaj się z listą OWASP API Security Top 10 (2023).

2. Uruchom umiejętność za pomocą fraz takich jak "skanuj bezpieczeństwo API", "sprawdź podatności" lub "audytuj bezpieczeństwo API". Narzędzie przeskanuje wszystkie definicje tras, aby zbudować pełny inwentarz endpointów, metod HTTP i łańcuchów middleware zastosowanych do każdej trasy.

3. Przeanalizuj middleware autentykacji, aby sprawdzić, czy każdy endpoint mutacyjny (POST, PUT, PATCH, DELETE) ma wymuszaną autentykację i czy żaden endpoint nie omija jej przez błędne porządkowanie tras.

4. Sprawdź Broken Object Level Authorization (BOLA), weryfikując, że kontrole dostępu do zasobów porównują ID lub rolę uwierzytelnionego użytkownika z właścicielством żądanego zasobu, a nie tylko ważność autentykacji.

5. Zidentyfikuj nadmierną ekspozycję danych, porównując dane zwracane w odpowiedziach z rzeczywistymi potrzebami klienta i sprawdzając, czy nie ujawniają się poufne pola.

6. Uzupełnij analizę statyczną dynamicznym testowaniem za pomocą narzędzi takich jak OWASP ZAP, Burp Suite lub nuclei, a także skanerów podatności zależności (npm audit, safety dla Pythona, govulncheck).