Компонент «Обнаружение утечек API» расширяет функциональность продукта «ПроAPI Структура» в области мониторинга скомпрометированных секретов (токенов) с дальнейшей возможностью блокировки таких токенов путём создания виртуальных патчей. Он предоставляет следующие возможности:

  1. Анализ и блокировка скомпрометированных токенов/секретов API.

  2. Предотвращение атак и блокировка запросов, содержащих утекшие токены/секреты.

  3. Возможность совместного использования средств мониторинга утечек и предотвращения использования утекших токенов/секретов.

  4. Автоматизация блокировки утекших токенов/секретов по средствам взаимодействия с API.

Рис.1 Главное пользовательское окно
Рис.1 Главное пользовательское окно

Как это работает

Для обнаружения скомпрометированного токена пользователю необходимо выполнить следующие действия:

  1. Добавить скомпрометированный токен в «Предотвращение утечек API».

Рис.2
Рис.2
  1. Создать описание утечки, указав название, источник и сам токен.

  2. Найти добавленный токен в списке.

Рис. Список добавленных токенов
Рис. Список добавленных токенов
  1. Применить, по необходимости, виртуальный патч. При создании виртуального патча пользователь может точно указать параметры, в которых передаётся токен.

После создания виртуального патча запросы, содержащие скомпрометированный токен, будут блокироваться. Данные события можно контролировать через раздел «События» на платформе «Вебмониторэкс».

Рис.4 Раздел «События»
Рис.4 Раздел «События»

Получение доступа к функции предотвращения утечек API

Компонент «Обнаружение утечек API» поставляется в виде дополнительной функциональности продукта «ПроAPI Структура» в рамках платформы «Вебмониторэкс». Для его подключения необходимо, в первую очередь, подключить «Структуру API». После этого появляется возможность включить компонент «Обнаружение утечек API».

Мы планируем дальнейшее развитие функции мониторинга утечек токенов. Так же в планах расширение автоматизации процесса и повышение удобства для пользователей. 

Приглашаем на наш вебинар, где мы расскажем про продукт «ПроAPI Структура» и ещё о многом интересном. Вы сможет задать вопросы спикерам и высказать свои идеи по дальнейшему развитию продуктов компании «Вебмониторэкс»

У нас есть Telegram-канал, в котором мы рассказываем все об API Security, Web Security и публикуем анонсы об изменениях в продуктах. И еще немного про уязвимости и технические изыскания команды Вебмониторэкс.

Читайте и подписывайтесь!

Комментарии (0)