OpenSource API安全测试自动化？

Question

我的任务是自动化应用程序api安全测试，以证明概念项目，这需要我提出一个工具。现在，这个工具必须以json/xml或其他形式提供数据结果，这样Jenkins就可以使用& graffna来组合集成仪表板的所有数据，包括性能验证、功能验证和安全验证。

到目前为止，我已经找到了一些api安全工具，这些工具可以支持验证任务，但是对于devops团队来说，这些并不是到jenkins的桥梁。这些工具是Astra，Vooki，syntribos和Susanoo

我希望在这方面得到支持，如果你们中很少有人愿意分享对这种情况的反馈&所提议的工具。

Answer 1

尝试扫描。有很多关于这个工具的信息，它与CI/CD管道集成。您可以向扫描器提供OpenAPI定义，使用令牌解决身份验证问题，并以json格式收集结果。。

这是官方项目的网址：https://github.com/zaproxy/zaproxy/wiki/ZAP-API-Scan

Answer 2

我认为你需要用你自己做的工具。请记住，API的设计可以考虑到不同的事情。其中一些可以基于URI上的编码信息(在HTTP的情况下)，另一些则是需要理解协议的二进制协议。另外，一些API需要我所称的“令牌”，即嵌入在HTTP请求上的密钥或加密密钥，您需要知道API上令牌的名称，以便对它们进行加密攻击。我的建议是构建自己的工具，特别是如果API是专有的。

希望它能帮上忙