ニュース
APIセキュリティについて学習できるオープンソースラボ環境「vAPI」、なぜ必要なのか:「OWASP API Security Top 10」に沿ったテストができる
「OWASP API Security Top 10」に含まれるAPIの脆弱性の挙動を観察できるオープンソースツール「vAPI」が登場した。どのように役立つのだろうか。
サイバーセキュリティツールベンダーのPortSwiggerは2022年1月17日(米国時間)、「OWASP API Security Top 10」に含まれる脆弱(ぜいじゃく)性の挙動を観察できるように設計されたオープンソースツール「vAPI」(Vulnerable Adversely Programmed Interface)を解説した。
APIセキュリティは近年、重要なセキュリティ分野となっている。APIは現在、サービスやデータ転送の管理に広く使われており、壊れたエンドポイントが1つあるだけで、データ流出や企業ネットワークの侵害につながる。
Gartnerは2022年には、API攻撃が企業Webアプリケーションに対する最も一般的な攻撃手法になると予測している。
vAPIでは何ができるのか
vAPIはセキュリティベンダーのHolm Securityでセキュリティエンジニアを務めるトゥシャー・クルカーニ氏が開発し、GitHubで公開しているツール。
同氏は、2021年11月に「Black Hat Europe 2021 Arsenal」でvAPIを紹介した際、このプラットフォームは、「新人のペネトレーションテスト担当者にとって、さまざまなAPIのバグの分類に慣れるのに役立つ。開発者にとっては、脆弱なコードの例を調べ、脆弱性の軽減策を検討するために利用できる」と説明した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか
サイバーセキュリティツールベンダーのPortSwiggerは、APIの脆弱性対策について解説したブログ記事を公開し、警鐘を鳴らした。設計時からAPIの脆弱性に注意を払うこと、さらに攻撃者の立場でAPIをテストすることが重要だという。 - Kubernetesクラスタのセキュリティ問題の根本原因は何か、Alcideが概説
「Kubernetes」ネイティブのセキュリティプラットフォームを手掛けるAlcideは、Kubernetesクラスタのセキュリティを確保する上での課題を概説したブログを公開した。Kubernetesのセキュリティ問題の根本原因と原因を絶つコツを紹介している。 - 1000本以上のAndroidアプリが認証情報を無防備な状態で保存、Comparitechが調査
人気のAndroidアプリケーション2500本について機密認証情報の扱いをComparitech.comの研究者が調べたところ、1057本では少なくとも1つの機密認証情報が無防備な状態で保存されていることが明らかになった。