Как будете тестировать безопасность API и других компонентов?

Question

Автоматизированные сканирования (OWASP ZAP, Burp Suite).Ручные пентесты для сложных сценариев.Аудит кода (SAST-инструменты).Fuzz-тестирование для обработки некорректных данных.

YeaHub · Accepted Answer

1. Инструменты для автоматического тестированияOWASP ZAP:docker run -t owasp/zap2docker zap-api-scan.py -t https://api.example.com -f openapiПроверяет: инъекции, небезопасные заголовки, CORS.Burp Suite: Для детального анализа ручных сценариев.2. ПентестыЭтапы:Разведка (сбор информации об API).Попытка эксплуатации уязвимостей (SQLi, XSS).Отчет с рекомендациями.3. Статический анализ (SAST)Инструменты: SonarQube, Snyk.Пример интеграции в CI:# GitLab CI
sast:
  stage: test
  image: snyk/snyk:latest
  script:
    - snyk test --severity=high4. Fuzz-тестированиеИнструменты: JQF (для Java), go-fuzz.Что проверяет: Устойчивость к некорректным/неожиданным данным.Вывод:Комбинация автоматических и ручных методов обеспечивает максимальное покрытие угроз.