Сканеры говорят «все ок», а хакеры уже внутри. Hadrian пришел исправить ситуацию
NewsMakerВ открытый доступ выложен проект для аудита API.
Найти уязвимость в интерфейсе программирования приложений обычно сложнее, чем кажется. Многие сканеры бодро рапортуют «всё чисто», но при этом не замечают главную проблему – ошибки в проверке прав доступа. Новый открытый инструмент Hadrian как раз нацелен на такие проблемы.
Компания Praetorian выложила в открытый доступ фреймворк для проверки безопасности интерфейсов программирования приложений. Hadrian работает с REST, GraphQL и gRPC и ищет уязвимости из списка OWASP API Top 10.
Инструмент фокусируется на логике авторизации. В конфигурации задают роли пользователей с разными правами, после чего система автоматически проверяет доступ к каждому методу API от имени разных ролей. Такой подход помогает выявлять ситуации, когда пользователь получает доступ к чужим данным или функциям.
Hadrian ищет, в частности, уязвимости класса BOLA и BFLA, связанные с неправильной проверкой прав на уровне объектов и функций. Также инструмент проверяет ошибки аутентификации, избыточное раскрытие данных и проблемы конфигурации.
Найти уязвимость в интерфейсе программирования приложений обычно сложнее, чем кажется. Многие сканеры бодро рапортуют «всё чисто», но при этом не замечают главную проблему – ошибки в проверке прав доступа. Новый открытый инструмент Hadrian как раз нацелен на такие проблемы.
Компания Praetorian выложила в открытый доступ фреймворк для проверки безопасности интерфейсов программирования приложений. Hadrian работает с REST, GraphQL и gRPC и ищет уязвимости из списка OWASP API Top 10.
Инструмент фокусируется на логике авторизации. В конфигурации задают роли пользователей с разными правами, после чего система автоматически проверяет доступ к каждому методу API от имени разных ролей. Такой подход помогает выявлять ситуации, когда пользователь получает доступ к чужим данным или функциям.
Hadrian ищет, в частности, уязвимости класса BOLA и BFLA, связанные с неправильной проверкой прав на уровне объектов и функций. Также инструмент проверяет ошибки аутентификации, избыточное раскрытие данных и проблемы конфигурации.