Arcane Scout: เครื่องมือ Pentesting API ใน DevTools สำหรับผู้ทดสอบความปลอดภัย
Arcane Scout: API Pentesting Toolkit ซึ่งพัฒนาโดย Arcane Scout เป็นส่วนขยาย DevTools ที่มุ่งเป้าไปที่นักวิจัยด้านความปลอดภัย ผู้ล่ารางวัลข้อบกพร่อง และนักพัฒนาระบบหลังบ้านที่ตรวจสอบเว็บ API มันนำความสามารถในการทดสอบความปลอดภัยเข้าสู่สภาพแวดล้อมของนักพัฒนาของเบราว์เซอร์เพื่อสนับสนุนการวิเคราะห์ API แบบโต้ตอบในระหว่างเซสชันสด ส่วนขยายนี้มีไว้สำหรับผู้ทดสอบที่ต้องการการวิเคราะห์ API ที่รวดเร็วและมีบริบทในระหว่างการตรวจสอบและการสอบสวนเหตุการณ์ การจัดวางนั้นเร่งการตรวจสอบ API ขนาดเล็กและการทำซ้ำอย่างรวดเร็วในระหว่างการล่าหาจุดอ่อน.
Arcane Scout ใช้ทำอะไร?
เครื่องมือนี้แปลง DevTools ของเบราว์เซอร์ให้เป็นสถานีงานด้านความปลอดภัยที่มุ่งเน้น API การบันทึกแบบเรียลไทม์จะบันทึกการจราจร XHR และ Fetch พร้อมกับเมธอด, จุดสิ้นสุด, และข้อมูลเมตาสถานะเพื่อให้ผู้ทดสอบสามารถดูคู่คำขอ/คำตอบและติดตามความล้มเหลวระหว่างการสำรวจด้วยตนเอง โมเดลการจับภาพนั้น ถูกปรับแต่งให้เหมาะกับการทำงาน API ที่มุ่งเน้น ทำให้ผู้ตรวจสอบสามารถติดตามการไหลของ API และตรวจสอบส่วนหัวและข้อมูลบรรทุกโดยไม่ต้องเรียกใช้เครื่องมือตรวจสอบเครือข่ายแยกต่างหาก
มันเข้ากับกระบวนการทำงานของผู้ทดสอบได้อย่างไร?
Arcane Scout ติดตั้งเป็นแผง DevTools ใน Chrome และเบราว์เซอร์ที่ใช้ Chromium อื่น ๆ และรองรับการส่งออกเซสชันที่จับได้และคำขอแต่ละรายการในรูปแบบ JSON หรือ HAR ตัวเลือก 'คัดลอกเป็น cURL' แบบคลิกเดียวจะส่งข้อมูลคำขอที่แน่นอนไปยังเครื่องมือบรรทัดคำสั่ง ในขณะที่ไฟล์ที่ส่งออกทำให้ทีมสามารถทำการวิเคราะห์ออฟไลน์หรือนำเข้าบันทึกไปยังเครื่องสแกนภายนอกได้ เส้นทางเหล่านั้นจะเคลื่อนย้ายหลักฐานที่ถูกดักจับเข้าสู่การรายงานและกระบวนการอัตโนมัติ
Arcane Scout ช่วยลดความเสี่ยงเมื่อพิจารณาคำตอบที่น่าสงสัยหรือไม่?
ส่วนขยายนี้มีการแสดงตัวอย่าง HTML ที่ถูกแยกออกและตัวดูสื่อเพื่อให้ผู้ทดสอบสามารถดูคำตอบที่อาจเป็นอันตรายโดยไม่ต้องดำเนินการ markup ในบริบทของหน้าเว็บหลัก ผู้ตรวจสอบส่วนหัวจะสแกนหาส่วนหัวด้านความปลอดภัยที่ขาดหายไปหรือกำหนดค่าไม่ถูกต้อง เช่น Content-Security-Policy, HSTS, และ X-Frame-Options และกำหนดระดับความรุนแรงให้กับการค้นพบ เหล่านี้เป็นมาตรการป้องกันที่สนับสนุนการตรวจสอบด้วยตนเองที่ปลอดภัยขึ้นในระหว่างการตรวจสอบ
Arcane Scout รองรับรูปแบบ API สมัยใหม่และกระบวนการทำงานของการทดสอบแบบ fuzzing หรือไม่?
มันจับการจราจร XHR และ Fetch ทั้งหมด ทำให้สามารถใช้งานได้กับ REST, GraphQL, และ API ที่ใช้ JSON อื่น ๆ การสร้างข้อมูลบรรทุกในตัวให้เวกเตอร์การทดสอบทั่วไปสำหรับ SQL injection, XSS, และ path traversal และแผง encoder/decoder จัดการรูปแบบ Base64, URL, HTML, และ Hex เครื่องมือเหล่านี้ช่วยให้ผู้ทดสอบสามารถเปลี่ยนแปลงข้อมูลนำเข้าและสังเกตคำตอบของเซิร์ฟเวอร์โดยไม่ต้องประกอบรายการข้อมูลบรรทุกแยกต่างหาก
ตำแหน่งเกี่ยวกับความเหมาะสม
Arcane Scout เหมาะสำหรับนักวิจัยด้านความปลอดภัยและนักล่ารางวัลบั๊กที่ชื่นชอบการทดสอบ API ที่รวดเร็วและมุ่งเน้นระหว่างการตรวจสอบและการสอบสวนเหตุการณ์ ข้อแลกเปลี่ยนคือการวิเคราะห์ระดับโปรโตคอลที่ละเอียดถี่ยังต้องการชุดพร็อกซี่เฉพาะและเครื่องมือภายนอก สำหรับทีมที่ให้ความสำคัญกับการทำซ้ำอย่างรวดเร็วภายในเบราว์เซอร์ของพวกเขาและต้องการการส่งออกที่พกพาได้สำหรับการตรวจสอบที่ลึกซึ้งยิ่งขึ้น เครื่องมือนี้เป็นทางเลือกที่เหมาะสมที่ช่วยลดระยะเวลาการตอบกลับในการทดสอบ.