2022年11月1日

Synack推出了API滲透測試功能，由其全球精英安全研究人員社區提供支持。組織現在可以依靠Synack平台對“無頭”API端點進行持續的滲透測試覆蓋，這些端點缺乏用戶界麵，並且越來越容易受到攻擊者的攻擊。Synack首席技術官兼聯合創始人、前國家安全局網絡安全專家Mark Kuhr表示:“Synack以人為主導的對抗式方法非常適合測試構成社會數字化轉型骨幹的api。”“我們很高興能為客戶提供一種獨特的、可擴展的方式，來保護這一不斷增長的攻擊麵區域。”Gartner估計，API濫用將成為今年企業web應用程序中最常見的數據泄露來源。Synack使組織能夠驗證可利用的API漏洞，如被破壞的授權和身份驗證(在OWASP API前10名中提到)，不能被惡意黑客濫用。Synack首席產品官Peter Blanks表示:“許多組織都在努力尋找頂級網絡人才，以根除api特定的漏洞。“我們很高興能夠擴展Synack平台，為api提供人力攻擊安全測試。”Synack的無頭API功能建立在通過web和移動應用程序進行API滲透測試的多年經驗之上。新的平台特性允許客戶輸入API文檔來指導測試範圍和覆蓋範圍。 Next, researchers with the Synack Red Team attempt to exploit API endpoints in the way a real external adversary would. Of the Synack Red Team’s over 1,500 global members, only those with proven API testing skills are activated on API requests, reducing noise. Synack’s Special Projects division led over 100 successful pentests against headless APIs in 2022, providing customers with critical proof-of-coverage reports while validating researchers’ API expertise. Vulnerability submissions and testing reports are routed through Synack’s Vulnerability Operations team for a rigorous vetting process before being displayed in the platform, minimizing false positives and ensuring high-quality results. More about