生态 | Eolink x 火线安全，构建高效安全的一体化研测管理体系

Posted 2023-06-09 eolink

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了生态 | Eolink x 火线安全，构建高效安全的一体化研测管理体系相关的知识，希望对你有一定的参考价值。

在数字化时代，API 经济崛起成为推动企业创新和发展的重要力量。据相关研究公司预测，到 2025年全球 API 经济规模将达到数万亿美元。API 经济不仅推动了数字化转型，也为企业带来了巨大商机。通过开放和共享 API，企业可以扩大业务范围、吸引更多合作伙伴和开发者参与，实现创新、增加收入，并提供更优质的用户体验。

然而，伴随 API 的广泛应用，应用安全问题日益凸显。安全漏洞和威胁可能导致数据泄露、身份盗窃以及系统瘫痪等严重后果，给企业和用户带来巨大风险。应用安全成为保障 API 经济健康发展的重要环节。

为了帮助广大企业应对这一挑战，近日 Eolink 与火线安全宣布达成战略合作，双方将携手共同推动应用安全领域的发展，以帮助企业应对日益复杂的安全挑战。通过整合 Eolink 的 API 研发管理与自动化测试专长和火线安全的漏洞测试与应用安全经验，双方将为开发者用户提供更具创新性的解决方案，以确保应用的安全性、稳定性和可靠性，进一步推动数字化时代的 API 经济一路安全的蓬勃发展。

Eolink 是国内 API 整体解决方案的领军企业，致力于打造一站式、智能化的 API 全生命周期解决方案，为企业用户提供完善的 API 规范化治理、API 研发流程优化、API 性能和安全保障、API 数据服务开放及交易等创新服务，帮助企业提升研发效能，降低运维成本。

Eolink 的 API 管理平台提供了完整的 API 生命周期管理，包括 API 设计、文档管理、测试、监控、发布、统计等功能，支持多种 API 协议和数据格式，如 RESTful、SOAP、JSON、XML 等。

Eolink 的 API 交易平台则提供了 API 交易、API 商城、API 授权等场景功能，帮助企业实现 API 的商业化价值。通过其独创的 DTDD（文档与测试驱动开发）和 API First 理念，目前已为全球超过 50万开发者及 10万家企业用户提供过高效、安全、快速的 API 全生命周期服务！

火线安全 是一家社区驱动的应用安全创新企业，致力于为企业提供应用安全创新解决方案。通过自主研发的自动化测试产品洞态 IAST，结合社区超过数万名的实名白帽安全专家，帮助企业解决应用安全的各类风险。

洞态 IAST 交互式应用安全测试平台是全球唯一开源的 IAST 产品，可完美匹配敏捷开发和 DevSecOps 流程，在软件开发和测试阶段无缝集成现有开发流程，让开发人员和测试人员在执行功能测试时，实时、动态、同步进行漏洞检测，可精确确定漏洞所在代码行，在无感知的情况下完成安全测试。

目前，火线洞态 IAST 已在全球 27 个国家和地区进行了广泛部署，拥有行业里最多的落地应用，并发布了国内首个《IAST 落地实战笔记》，是最能落地的 IAST 产品。火线安全已帮助 200 多家企业部署了数十万个节点，装机量全球领先。 十万级部署，万级并发，仍能无感运行。

Eolink 与火线安全此次战略合作将为用户带来高效与安全的研测一体化解决方案。 火线安全将为 Eolink 的 API 管理平台打通安全测试接口，帮助用户在 API 开发和测试环节中及时发现和修复安全漏洞，保障 API 的安全性。同时，Eolink 将为火线安全提供 API 管理平台的支持，帮助火线安全更好地管理和发布 API，提高研发效率和运维效率。

这次合作充分将展现了 Eolink 和火线安全在各自领域的优势互补，致力于推进 API 管理与应用安全领域的发展，携手共赢，共同推动数字化时代向着繁荣与安全的方向发展。

网络安全中接口测试的解决方案

Eolink新一代API测试神器

一、接口测试

1、接口

接口即API：Application Programming Interface，即应用程序编程接口。接口就是一个位于复杂系统之上并且能简化你的任务，它就像一个中间人让你不需要了解详细的所有细节。像谷歌搜索系统，它提供了搜索接口，简化了你的搜索任务。再像用户登录页面，我们只需要调用我们的登录接口，我们就可以达到登录系统的目的。

2、接口测试

接口测试是测试系统组件间的接口，主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查接口参数传递的正确性，接口功能实现的正确性，输出结果的正确性，以及对各种异常情况的容错处理的完整性和合理性。

二、网络安全中的接口测试，具体场景

1、接口安全测试

网络安全中对于接口的测试主要是保证接口在运行中的质量、功能安全。
API接口安全测试是通过用API检测的方法测试系统组件间接口的一种测试。接口安全测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换，传递和控制管理过程，以及系统间的相互逻辑依赖关系等。

网络安全接口测试主要针对WEB接口、TCP接口、其他特定接口的测试。2017年，OWASP 组织根据近几年安全攻击趋势，发布了OWASP top 10（2017），其中**【A10-未受到充分保护的API】**为新增的最新十大安全威胁之一。以下是网络安全中常见的接口测试分类

2、传统测试工具

在传统的接口安全测试时针对Web API、和TCP/UDP Socket API使用的工具如下。

Web API测试
Web API 测试主要参考常规web测试，使用burpsuite、fiddler、Firefox-hackbar插件等集成安全测试工具对API接口进行分析、测试。
TCP/UDP Socket API测试
Sockket API测试使用SocketTool等socket数据包测试工具，以及开发接口的公司使用的专用测试工具或者自己编写的测试脚本进行分析、测试。使用wireshark进行数据包流量分析。
其他接口
其他接口测试，主要使用wireshark、SocketTool、自主编写的测试（FUZZ）脚本等进行测试。

对于Web API、和TCP/UDP Socket API的测试就要使用至少3种工具才能完成接口测试工作，这样一来大大的拉低了测试效率。最近在发现了一款宝藏接口测试工具，他能支持各种协议下的API测试，在不同的场景下能更好的适应。咱们先把网络安全背景下的具体测试场景介绍完，然后再来看看这款工具到底强大在哪里。

3、具体测试场景

接口滥用测试
测试对外提供服务接口是否有防滥用机制，例如查询相关信息接口，一方面如果未对接口进行查询次数控制，则会导致大量信息泄露，另一方面，频繁的查询会对服务器性能造成影响如对方频繁恶意进行接口调用，则会导致接口性能下降，影响业务（基于业务的DDOS攻击）。建议进行接口设计时设计接口阈值，对接口访问频率设置阈值，超出设定的访问频率时返回错误码，对超过阈值的请求进行屏蔽及预警，可以一定程度上防止CC攻击。
测试步骤
检查接口是否有接口滥用限制，主要为接口查询频率、参数遍历查询等。

风险分析
WebAPI接口在互联网上如果被恶意利用则会导致攻击者使用该接口大量遍历获取敏感信息以及对服务进行拒绝服务攻击。

接口数据重放测试
测试对外提供服务接口进行交易时，是否防具备防重放措施，防止关键交易被重放，导致业务风险。
测试步骤
测试时使用一个交易报文，进行多次重放，检查服务端是否正常返回请求（建议特别关注可能会导致交易风险的报文）。

第一次交易

重放交易

风险分析
数据重放交易主要测试针对重要的交易，比如转账，购物，支付等具备唯一性的交易。如果没有防止重放的控制，则会导致业务进行多次交易，导致业务逻辑问题。

三、Eolink的解决方案

1、解决传统测试的痛点

传统的接口安全测试中对于每种协议使用的工具参差不齐，每测试一种协议工具就要变换，这样一来工作就变得繁琐、效率低下。甚至测试其他接口的时候要自主编写的测试（FUZZ）脚本等进行测试。新一代API测试工具Eolink 支持 HTTP(S)、Websocket、TCP、UDP 等主流协议的测试，解决了网络安全要求下传统接口安全测试的各种问题，对于不同协议的API测试就不用自己编写脚本，Eolink 节省了测试成本和时间。对于接口的安全测试完全够用。

宝藏接口测试工具

上手使用
Eolink支持在多种系统上运行，也可以直接在Web端进行测试，注册账号，下载安装登录运行。

2、Eolink 测试接口

添加项目
进入API管理界面，添加项目-李白你好API测试点击添加按钮添加项目，输入项目名称、项目类型以及备注信息，点击确认完成添加。

添加API或者导入API
可以自己添加新的API也可以讲以前测试的API导入到Eolink 中，这个导入功能是真的便捷。

进行测试
创建好API之后就可以进行测试了，如果是夜间的话我们还可以把工具的背景转换成“护眼模式”黑色，这一点真的是细节。

测试报告
测试结束之后可以出测试报告，报告中显示了测试结果是否通过还有测试历史记录。

不同协议下的API测试
添加子分组，分组名称“不同协议下的API测试”

新建API，在请求协议出发现HTTP、HTTPS、Websocket等协议下的API测试

HTTP协议下的API测试
新建API选择请求协议，然后填写API名称，点击保存就可以进行API测试了。

HTTPS、Websocket等协议下的API测试的过程也跟上述类似。