Компонент «Обнаружение утечек API» расширяет функциональность продукта «ПроAPI Структура» в области мониторинга скомпрометированных секретов (токенов) с дальнейшей возможностью блокировки таких токенов путём создания виртуальных патчей. Он предоставляет следующие возможности:

  1. Анализ и блокировка скомпрометированных токенов/секретов API.

  2. Предотвращение атак и блокировка запросов, содержащих утекшие токены/секреты.

  3. Возможность совместного использования средств мониторинга утечек и предотвращения использования утекших токенов/секретов.

  4. Автоматизация блокировки утекших токенов/секретов по средствам взаимодействия с API.

Рис.1 Главное пользовательское окно

Как это работает

Для обнаружения скомпрометированного токена пользователю необходимо выполнить следующие действия:

  1. Добавить скомпрометированный токен в «Предотвращение утечек API».

Рис.2

  1. Создать описание утечки, указав название, источник и сам токен.

  2. Найти добавленный токен в списке.

Рис. Список добавленных токенов

  1. Применить, по необходимости, виртуальный патч. При создании виртуального патча пользователь может точно указать параметры, в которых передаётся токен.

После создания виртуального патча запросы, содержащие скомпрометированный токен, будут блокироваться. Данные события можно контролировать через раздел «События» на платформе «Вебмониторэкс».

Рис.4 Раздел «События»

Получение доступа к функции предотвращения утечек API

Компонент «Обнаружение утечек API» поставляется в виде дополнительной функциональности продукта «ПроAPI Структура» в рамках платформы «Вебмониторэкс». Для его подключения необходимо, в первую очередь, подключить «Структуру API». После этого появляется возможность включить компонент «Обнаружение утечек API».

Мы планируем дальнейшее развитие функции мониторинга утечек токенов. Так же в планах расширение автоматизации процесса и повышение удобства для пользователей. 

Приглашаем на наш вебинар, где мы расскажем про продукт «ПроAPI Структура» и ещё о многом интересном. Вы сможет задать вопросы спикерам и высказать свои идеи по дальнейшему развитию продуктов компании «Вебмониторэкс»

У нас есть Telegram-канал, в котором мы рассказываем все об API Security, Web Security и публикуем анонсы об изменениях в продуктах. И еще немного про уязвимости и технические изыскания команды Вебмониторэкс.

Читайте и подписывайтесь!