Abbiamo un server che esegue un'API REST sulla porta 443. Mi piacerebbe assicurarmi che sia sicuro eseguendo vari test di penna su di esso. Sono abituato a fare test offensivi su una pagina web in cui posso vedere codice, URL e trovare moduli da testare. Ma sono completamente cieco quando collaudo un'API. Non so nemmeno quali siano gli URL validi da testare. C'è qualche buona documentazione su come farlo, magari usando Kali Linux?
Sicurezza REST e Sicurezza API sono eccellenti argomenti di ricerca.
Questa domanda e le risposte forniscono buoni spunti per trovare ottimi strumenti e tecniche per testare queste interfacce - Metodologie di test della sicurezza API
Se fossi in te, eviterei di testare un'interfaccia REST o la sicurezza di una API da remoto, o tramite una tecnica black-box come i test di sicurezza delle app dinamici. Quello che vuoi è analizzare le decisioni di progettazione (questo post sul blog è un ottimo riferimento con esempi di codice .NET e consigli sui componenti) e / o eseguire una revisione sicura del codice. Uno strumento che uso abitualmente per eseguire revisioni di codice protette è Trova i bug di sicurezza . Per analizzare i componenti, è Controllo dipendenza OWASP (con supporto per più lingue), bundler-audit per Ruby, Retire.js (o Snyk.io ) per JavaScript e OWASP SafeNuGet per progetti .NET.
Leggi altre domande sui tag api rest penetration-test