「OWASP API Security Top 10」に含まれるAPIの脆弱性の挙動を観察できるオープンソースツール「vAPI」が登場した。どのように役立つのだろうか。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
サイバーセキュリティツールベンダーのPortSwiggerは2022年1月17日(米国時間)、「OWASP API Security Top 10」に含まれる脆弱(ぜいじゃく)性の挙動を観察できるように設計されたオープンソースツール「vAPI」(Vulnerable Adversely Programmed Interface)を解説した。
APIセキュリティは近年、重要なセキュリティ分野となっている。APIは現在、サービスやデータ転送の管理に広く使われており、壊れたエンドポイントが1つあるだけで、データ流出や企業ネットワークの侵害につながる。
Gartnerは2022年には、API攻撃が企業Webアプリケーションに対する最も一般的な攻撃手法になると予測している。
vAPIはセキュリティベンダーのHolm Securityでセキュリティエンジニアを務めるトゥシャー・クルカーニ氏が開発し、GitHubで公開しているツール。
同氏は、2021年11月に「Black Hat Europe 2021 Arsenal」でvAPIを紹介した際、このプラットフォームは、「新人のペネトレーションテスト担当者にとって、さまざまなAPIのバグの分類に慣れるのに役立つ。開発者にとっては、脆弱なコードの例を調べ、脆弱性の軽減策を検討するために利用できる」と説明した。
Copyright © ITmedia, Inc. All Rights Reserved.