基于StackHawk的API接口安全扫描介绍

开源 Web 应用安全项目(OWASP)在 2019 年发布了 API 十大安全风险 《OWASP API 安全 Top10》:失效的对象级别授权、失效的用户身份验证、过 度的数据暴露、资源缺乏和速率限制、失效的功能级授权、批量分配、安全配置 错误、注入、资产管理不当、日志和监视不足位列其中。

在官网SAAS注册后,有15天试用期,创建应用

支持多类接口,包括REST/OpenAPI,GraphQL

API类型

生成yaml扫描配置文件,同时提示如何运行扫描,支持本地扫描

生成的示例stackhawk.yml

# -- stackhawk configuration for Xunjian --app:  # -- An applicationId obtained from the StackHawk platform. --  applicationId: e0e7954d-b26f-4623-9df0-f0e8198a75ef # (required)  # -- The environment for the applicationId defined in the StackHawk platform. --  env: Development # (required)  # -- The url of your application to scan --  host: http://172.24.1.62:9992/xjdev # (required)# -- Customized Configuration for GraphQL/SOAP/OpenAPI, add here --  openApiConf:    path: swagger.json # OR...#     filePath: openApi.json  autoPolicy: true  autoInputVectors: true  # Configuration Docs: https://docs.stackhawk.com/hawkscan/configuration/# -- If Authenticated Scanning is needed, add here --  # Authenticated Scanning Docs: https://docs.stackhawk.com/hawkscan/authenticated-scanning.html  # Authenticated Scanning Repo: https://github.com/kaakaww/scan-configuration/tree/main/Authentication# -- Help Section --  # Docs: https://docs.stackhawk.com/  # Contact Support: support@stackhawk.com

运行Docker来扫描,被扫描的接口网站可以部署在內网,也可以部署是互联网, 运行时将连接互联网远程厂商服务器,检查APIKEY有效性。

docker run –rm -v $(pwd):/hawk:rw -e API_KEY=hawk.XXKXKXKXKXK -it stackhawk/hawkscan

扫描记录

生成的扫描报告示例

具体每个问题描述

安全漏洞相关参考信息

支持多个平台集成

StackHawk是一家美国动态应用安全测试服务商,专注于帮助用户测试正在运行的应用程序、服务和API是否存在安全漏洞以及可利用的开源安全漏洞。近日宣布获得2070万美元B轮融资,由 Sapphire 和 Costanoa Ventures 牵头,Foundry Group 和其他高价值投资者参与其中。


今天先到这儿,希望对云原生,技术领导力, 企业管理,系统架构设计与评估,团队管理, 项目管理, 产品管理,团队建设 有参考作用 , 您可能感兴趣的文章:
领导人怎样带领好团队
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构设计
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构设计演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式领导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构设计思路
IT基础架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务设计流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变
Openshift与Kubernetes的区别

如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:

作者:Petter Liu
出处:http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。