数据风险全知道
Knowyourdata,Manageyourrisk
在进行WEB应用安全审计过程中,搜集目标WEB应用存在的敏感资源、目录、API接口及参数等信息是审计测试流程中必不可少的环节。如何更好地实现RESTfulAPI接口(及参数)发现,既是业界研究难点,也是WEB安全审计实践痛点。
Part1
新技术解读
在今年4月的BsidesCanberra安全会议上,AssetNote团队安全研究人员公开了一项关于基于上下文的内容发现研究,并发布对应工具KiteRunner,以解决针对现代WEB应用框架实施安全审计过程中传统路径扫描技术效果欠佳的问题。在AssetNote团队公开的研究报告中,他们将基于路径字典的传统扫描技术归类于“内容空间发现”。他们认为,对于现代WEB应用架构,更重要的是能够深度自动化发现“内容空间”中的“内容”,包括但不限于API接口路径、参数、HTTP方法和请求头信息,即自动化工具能够构造和提交与正常RESTfulAPI接口调用相似的请求。WEB应用开发者在设计或调用RESTfulAPI接口时的