产品概述
Peach API Security是一种自动化的安全测试解决方案,允许客户根据OWASP Top-10 和 PCI Section 6.5 测试Web API。将Peach API Security集成到现有的持续集成(CI)系统中,可确保您的产品开发团队即时获得版本的安全性反馈。在产品开发生命周期的早期,寻找漏洞可以为您节省时间、金钱和声誉。客户使用Peach API Security显示和纠正其Web API中的漏洞。
为什么选择Peach API?
自动化测试,能够在产品开发生命周期的早期找出漏洞
通过CI集成,可以在数小时内发现问题
可检测产品是否遵循OWASP TOP 10 和 PCI
测试过程中,把OWASP TOP 10的每个威胁和检测漏洞一一对应
运行原理
Peach API Security根据OWASP Top-10中列出的要求,对Web API执行一系列安全检查。通过利用开发团队已经执行的自动测试(即单元测试),Peach智能地执行一系列模糊和被动安全测试。一旦完成配置,交互测试将通过现有的构建系统接口进行。Peach API Security支持所有的REST、 SOAP和JSON RPC web API。
CI集成
Peach旨在无缝集成到现有的CI系统中。在构建管道中作为一个步骤来执行,Peach阻止不安全的构建部署。 Peach的安全测试结果返回到CI系统, 确保开发人员不必退出其当前的构建工具 。
Peach包括对以下CI系统的支持:
测试配置文件
可配置的测试配置文件允许您使用可用的测试时间进行深度平衡测试。常见配置文件包括:
Quick– 无需模糊测试的快速测试,非常适合即时结果
Nightly – 快速测试与模糊测试,非常适合夜间架构和快速结果
Weekly – *测试,是主要产品发布和完整测试结果的理想选择
自动化生成测试用例
Peach API Security充当中间人代理,捕获由现有自动测试创建的流量。 一旦完成捕获,这些数据被Peach进行模糊测试并发送到测试目标。
流行的自动化测试框架的集成使捕获流量变得容易。此外,支持使用REST API、Java、.NET和Python的自定义流量生成器。
合规性测试
Peach API Security是一个全面的测试工具,用于测试OWASP Top-10和PCI第6.5部分。
OWASP Top-10 覆盖面 | PCI Section 6.5 覆盖面 |
A1 - 注入 | 6.5.1 - 注入漏洞 |
A2 - 破坏的身份验证和会话管理 | 6.5.2 - 缓冲区溢出 |
A3 - 跨站脚本(XSS) | 6.5.4 - 不安全的通信 |
A5 - 安全配置错误 | 6.5.5 - 错误处理不正确 |
A6 - 敏感数据暴露 | 6.5.7 - 跨站脚本(XSS) |
A7 - 缺少功能级别访问控制 | 6.5.8 - 访问控制不当 |
A8 - 跨站请求伪造(CSRF) | 6.5.9 - 跨站请求伪造(CSRF) |
A9 - 使用已知的漏洞组件 | 6.5.10 - 认证失败 |
A10 - 未验证的重定向和转发 |
|
报告
全面的测试结果使开发团队能够减轻安全漏洞的风险。漏洞数据会自动返回到CI系统。故障类似于自动化故障。这使开发人员可以专注于修复代码,而不是做出安全决策。
每个漏洞包含可操作的数据,如下所示:
故障消息数据 – 用于有效地查找和减轻漏洞
OWASP映射 – 标识哪个OWASP Top-10需求失败
可利用性 – 帮助团队优先处理和修复漏洞