Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

🖥

Репозиторий: APIClarity — анализ API

APIClarity — это инструмент, который обеспечивает мониторинг и анализ API для выявления потенциальных угроз безопасности. Он также предоставляет специализированные модули для анализа запросов и проверки соответствия обработки API спецификации, включая BOLA (Broken Object Level Authorizations) и BFLA (Broken Function Level Authorization) проверки.

— Данный инструмент помогает обнаруживать и устранять уязвимости в API, обеспечивая более высокий уровень безопасности и защиты данных. Инструмент так же имеет модуль Fuzzer для тестирования конечных точек API.

⏺ Ссылка на GitHub

#API #Fuzzing

Please open Telegram to view this post

VIEW IN TELEGRAM

2 views11:11

Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

Forwarded from CyberSecBastion

Finding Attack Vectors using API Linting

Think about it for a second. OAS is a language-agnostic way to describe a RESTful API that people can use to generate code stubs and documentation. Developers love to design their APIs with types and examples for every endpoint before they even start implementing it.

In this article, I will show you how to weaponize developer tools used for API design and design reviews against them. In fact, we will use these same tools to discover potential attack vectors in the very APIs they are trying to build and secure.

There tools are called “linters“, and support the technique of “linting“. Let’s get started.

Source
A flexible JSON/YAML linter (tool)

Extra:
Describing API Security
Damn Vulnerable Restaurant
Spectral OWASP API Security

#API

3 views08:30

Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

Forwarded from Лаборатория хакера

🖥

Репозиторий: Kong —облачный шлюз API и шлюз AI.

Kong или Kong API Gateway — это облачный, не зависящий от платформы, масштабируемый шлюз API, отличающийся высокой производительностью и расширяемостью через плагины.

— Данный инструмент также предоставляет расширенные возможности искусственного интеллекта с поддержкой нескольких LLM.

⏺

Ссылка на GitHub

#API

Please open Telegram to view this post

VIEW IN TELEGRAM

3 views12:51

Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

🖥 Репозиторий: DockerExploit — удаленный сканер и эксплойт Docker API

DockerExploit — содержит инструмент Docker Remote API Scanner and Exploit, предназначенный для образовательных и исследовательских целей.

— Данный инструмент позволяет пользователям проводить оценки безопасности и эксперименты, связанные с контейнерными средами Docker.

⏺ Ссылка на GitHub

#Docker #Exploit #API

1 view11:06

Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

🖥 Репозиторий: API-SecurityEmpire — проект, посвящённый безопасности API

API-SecurityEmpire — это проект, который предлагает уникальные методы атак и защиты в сфере безопасности API.

— Этот репозиторий включает в себя ментальные карты, рекомендации и ресурсы, связанные с безопасностью API и тестированием на проникновение.

⏺ Ссылка на GitHub (https://github.com/Cyber-Guy1/API-SecurityEmpire)

#API #Security #InfoSec #BugBounty
@hackernews_lib

3 views12:52

Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

🖥 Репозиторий: mitmproxy2swagger — автоматический реверс-инженер для REST API

mitmproxy2swagger — это инструмент для автоматического преобразования захваченных данных mitmproxy в спецификации OpenAPI 3.0.

— Этот инструмент позволяет вам автоматически проводить реверс-инжиниринг REST API, просто запустив приложение и захватив трафик.

⏺ Ссылка на GitHub (https://github.com/alufers/mitmproxy2swagger?tab=readme-ov-file)

#Reverse #API #Network

@hackernews_lib

2 views17:48

Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

Application Programming Interface (API) Vulnerabilities and Risks by McKinley Sconiers-Hasan, June 2024

Application programming interfaces (APIs) are increasingly common, and they are often designed and implemented in a way that creates security risks. This report describes 11 common vulnerabil-ities and 3 risks related to APIs, providing suggestions about how to fix or reduce their impact.

Recommendations include using a standard API documentation process, using automated testing, and ensuring the security of the identity and access management system.

#book #API

3 views14:45

Про ИБ: канал собирает хаки, уязвимости, и бреши в информационной безопасности

📘 "𝐄𝐧𝐝-𝐭𝐨-𝐄𝐧𝐝 𝐀𝐏𝐈 𝐒𝐞𝐜𝐮𝐫𝐢𝐭𝐲" – 𝐏𝐫𝐨𝐭𝐞𝐜𝐭𝐢𝐧𝐠 𝐘𝐨𝐮𝐫 𝐖𝐞𝐛 𝐒𝐞𝐫𝐯𝐢𝐜𝐞𝐬 𝐟𝐫𝐨𝐦 𝐂𝐨𝐝𝐞 𝐭𝐨 𝐂𝐨𝐧𝐬𝐮𝐦𝐞𝐫 🔐🌐

APIs are the backbone of modern digital business — powering apps, integrations, and customer experiences. But with this connectivity comes 𝗰𝗿𝗶𝘁𝗶𝗰𝗮𝗹 𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗿𝗶𝘀𝗸𝘀.
This guide walks you through industry best practices to secure APIs from 𝗴𝗮𝘁𝗲𝘄𝗮𝘆 𝘁𝗼 𝗱𝗮𝘁𝗮 𝗹𝗮𝘆𝗲𝗿, following proven authentication, authorization, and threat prevention models.

🔍 𝐖𝐡𝐚𝐭 𝐘𝐨𝐮’𝐥𝐥 𝐋𝐞𝐚𝐫𝐧:
✅ API gateway patterns & centralized security enforcement
✅ Authentication methods: Basic Auth, OAuth 2.0, OIDC, API keys, Mutual SSL
✅ Authorization models: RBAC, ABAC (XACML), Open Policy Agent, Speedle+
✅ Rate limiting strategies to prevent abuse & DoS attacks
✅ API protection: CORS, bot detection, malicious payload filtering, data masking, fraud detection
✅ OWASP API Top 10 threats & mitigation techniques
✅ Propagating security context across distributed services

#API

6 views06:24

About

Blog

Apps

Platform