Akto - API security testing platform

В этой заметке речь пойдет про тестирование API c помощью Akto - платформы, с открытым исходным кодом, позволяющая автоматизировать большое количество проверок API по OWASP-10. Инструмент представляет собой сканер с приятным веб интерфейсом, запущенный с помощью docker compose и включающий более 150 шаблонов для проверки различных уязвимостей: XSS, SSRF, IDOR, Mass Assignment, Command Injection, SSTI, LFI, CRLF Injection и других.

Инструмент позволяет решать следующие задачи:

✅ API Discovery - инвентаризация API ручек с помощью расширения для Burp Suite, Postman, Har для понимания Attack Surface, отслеживания изменений и появления новых эндпоинтов
✅ Sensitive Data Exposure - автоматизированный поиск чувствительных данных в ответах по дефолтным и кастомным фильтрам (email, номер телефона, платежные данные и пр.)
✅ Custom YAML tests - возможность создания кастомных YAML шаблонов проверок для сканера, с детальной документацией и примерами
✅ Automated Testing - автоматизированное сканирование по расписанию
✅ Reporting/Alerting - генерация красивых отчетов (pdf, csv), алерты о найденных уязвимостях с помощью webhooks в чатики в ваших любимых мессенджерах (в платной версии)
✅ CI/CD Integration - интеграция с CI/CD платформами (в платной версии)
✅ K8s, AWS, GСP API connectors (в платной версии)

Таким образом, даже с учетом ограничений в бесплатной версии (50 API endpoints/month, 2,500 tests/month, 10 custom tests) инструмент предоставляет хорошие возможности автоматизации тестирования API веб-приложений.

#akto #api_testing #bug_bounty