Syhunt Hybrid 7.1.9 adiciona ferramenta de teste de segurança de API

A Syhunt tem o orgulho de anunciar o lançamento de seu novo scanner de segurança de APIs, o Syhunt API, uma importante adição ao seu portfólio de segurança de aplicações, já disponível na versão 7.1.9 do Syhunt Hybrid. Com base em sua sólida reputação em segurança de aplicações web e móveis, a Syhunt agora estende sua proteção às APIs, oferecendo testes de segurança dinâmicos para formatos modernos de API.

O novo scanner é capaz de detectar mais de 581 vulnerabilidades específicas de API em mais de 30 categorias, incluindo ataques dentro e fora de banda, com alta precisão e o mínimo de falsos positivos. Ele suporta uma variedade de formatos de especificação de API, incluindo API Blueprint, OpenAPI e Swagger, e integra-se perfeitamente com pipelines de CI/CD, ferramentas de rastreamento de problemas e plataformas WAF. Disponível para implantação local, o scanner de API é oferecido sem custo adicional aos clientes atuais com licenças Syhunt Hybrid Infinity e Syhunt Dynamic Infinity, marcando um marco significativo na evolução da Syhunt rumo à proteção de todo o espectro de superfícies de aplicações modernas.

Principais recursos da ferramenta:

• Testes dinâmicos de segurança de API para mais de 581 vulnerabilidades específicas de API em mais de 30 categorias, abrangendo tipos de ataque inferencial, dentro da banda e fora da banda.
• Suporte para todos os principais formatos de especificação de API, incluindo OpenAPI (v2/v3), Swagger (v1/v2/v3), GraphQL (com anotações REST), API Blueprint, RAML, WADL, Google Discovery e I/O Docs.
• Rastreamento e mapeamento automatizados de API, permitindo detecção abrangente de endpoints, identificação de ações e requisições - tudo entregue rapidamente e sem esforço manual.
• Otimizado para APIs desenvolvidas em ASP.NET Core (C#), Java (Spring Boot / Jakarta EE), Node.js, PHP, Python e Ruby, em uma variedade de servidores e plataformas web (Windows, Unix, etc.).
• Cobertura dos 10 principais riscos de segurança de APIs da OWASP, 10 principais riscos de aplicações web da OWASP, injeção de SQL (em mais de 17 tipos de banco de dados), inclusão de arquivos, execução de comandos e muito mais.
• OAST sem falsos positivos (Teste de segurança de API fora de banda)

Com este lançamento, a Syhunt reforça seu compromisso em fornecer às organizações proteção proativa, profunda e automatizada para todo o seu cenário de API, estendendo-se além das proteções tradicionais de aplicações móveis e da web até a camada crítica da API.

Definindo o AAST: Testes de Segurança de Aplicações de API

Para distinguir claramente nossos recursos de testes de segurança de API do DAST tradicional focado na web, a Syhunt está adotando a sigla AAST (Teste de Segurança de Aplicações de API). Assim como o MAST (Teste de Segurança de Aplicações Móveis) se tornou um termo amplamente reconhecido para diferenciar DAST/SAST focados em dispositivos móveis de suas contrapartes web, o AAST ajuda a posicionar os testes de API como um subconjunto distinto e essencial dentro da categoria mais ampla de AST (Teste de Segurança de Aplicações). Essa distinção não apenas se alinha à forma como os testes de segurança evoluíram em diferentes plataformas, mas também esclarece o papel do nosso produto na proteção de APIs especificamente. Além disso, a adoção pelo mercado de AASM (Gerenciamento de Superfície de Ataque de API) como uma sigla relacionada reforça a necessidade de terminologia como AAST, facilitando a compreensão e a categorização de ferramentas de segurança focadas em APIs para o público técnico e de marketing. Com o AAST, a Syhunt abraça essa evolução, proporcionando clareza e alinhamento com as tendências do setor.

Em breve: Um inventário contínuo de APIs

Em uma atualização futura, a Syhunt planeja expandir sua cobertura de APIs para o Gerenciamento de Superfície de Ataque de API (AASM) de espectro completo, combinando análise dinâmica (DAST), descoberta baseada em log (FAST) e análise em nível de código-fonte (SAST). O produto Syhunt API Plus, que será lançado brevemente, automatizará a descoberta e os testes de segurança contínuos de todas as APIs - sejam elas documentadas, internas, ocultas, zumbis, órfãs ou endpoints de terceiros.

Melhorias na versão 7.1.9

• Adicionada a opção e a capacidade de varrer APIs em busca de vulnerabilidades. Atualmente disponível por meio da interface web e da CLI (comando ScanURL).
• Adicionadas as listas das 10 principais APIs de 2023 e 2019 da OWASP ao relatório de conformidade.
• Adicionado suporte para o arquivo .syhunt-pathignore na raiz dos repositórios de código. O arquivo deve conter strings wildcard (uma por linha), permitindo que os caminhos sejam excluídos da análise SAST.
• Adicionada a detecção de especificações de API por meio das análises DAST e SAST.
• Revisado o método de busca para as 25 Fraquezas de Software Mais Perigosas do CWE para corresponder à versão mais recente do documento.
• Melhor tratamento de erros: gera erro fatal quando um método de busca inválido é fornecido pela CLI.
• Melhor análise de respostas JSON/XML.
• Melhor geração de exportação XML.
• Método Spider Only renomeado para Map Only.
• Aceita o arquivo .syhunt-vulnignore em vez de .vulnignore. O suporte para .vulnignore foi mantido apenas para compatibilidade com repositórios existentes.
• Verificações de Manipulação de Cabeçalho revisadas.
• Corrigido: texto não traduzido no título da caixa de diálogo do editor de listas (ZGP-LVBGX-958).
• Corrigido: Exibição incorreta de caracteres asiáticos após confirmação e execução do pop-up de ação.

É só isso, por enquanto. Boa caça aos bugs!