Рубрики
Uncategorized

Обнаружение уязвимых конечных точек на API / веб-сайты

Внедрение недавно нам пришлось выполнить аудит безопасности на API клиента. Однако документ … Теги с безопасностью, API, DEVOPS, тестированием.

Недавно мы должны были выполнить аудит безопасности на API клиента. Однако документация была очень плохой. После использования некоторых основных инструментов, таких как Zed Attack Proxy или Голисмаро Отказ

Отчет, хотя продолжал преследовать меня по одной причине, когда я работал над API Я понял, что страница ошибки имела некоторое раскрытие пути, которые показывали операционную систему.

Я также понял, что еще много веб-сайтов и API имеют конечные точки, которые не всегда защищены в логинах. Некоторые люди думают, что до тех пор, пока человек не знает URL/конечную точку, то его безопасно.

Поэтому я решил в свободное время, чтобы сделать небольшой инструмент, чтобы помочь найти существующие URL-адреса/конечные точки и восстановить все пути и URL в ответ, а также базовую информацию, такую как если CORS установлена и многое другое.

Следовательно, родился Вестго , он может отсканировать данный веб-сайт или URL с коротким или длинным списком конечных точек.

NPM: https://www.npmjs.com/package/vestigo GitHub: https://github.com/crimson-med/vestigo.

Вот список текущих функций:

  • Анализ конечной точки
  • URL/путь открытия
  • Базовый анализ сайта
  • Генератор отчета MD/HTML

Предстоящие функции:

  • Настраиваемый флаг для предоставления веб-сайтов без SSL для исключения.
  • Дисплей и отображайте плохие конфигурации SSL.
  • Добавить домен WHOIS/IP обратный поиск.
  • Добавьте обнаружение ОС
  • Добавить сканирование портов (для общих портов)
  • Добавить Verbose Параметры для отладки
  • Сделайте систему очередей заказа (не спам для многих)
  • Добавить прокси-систему для запросов
  • Добавить https://www.npmjs.com/package/listr для лучшего ведения журнала
  • Добавить параметр для выбора отчетов Сохранить местоположение

Оригинал: «https://dev.to/crimsonmed/discovering-vulnerable-endpoints-on-api-websites-67g»