APIの脆弱性診断学習用コンテンツ「Tiredful API」を解説
日本電気株式会社(NEC)は11月5日、APIの脆弱性診断のスキル向上に役立つ学習コンテンツ「Tiredful API」について、同社セキュリティブログで解説している。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
「Tiredful API」は、Siddharth Bezalwar氏が作成したツールで、APIを作成する開発者やセキュリティ技術者がAPIのセキュリティについて学習できるよう、あらかじめAPIアプリケーションに基本的な脆弱性を盛り込んで作られた学習用コンテンツで、GPL3.0で公開されている。
Tiredful APIには下記の6つの脆弱性が含まれている。
・Information Disclosure
・Insecure Direct Object Reference
・Access Control
・Throttling
・SQL Injection
・Cross Site Scripting
同ブログでは、Tiredful APIのセットアップから、6つの脆弱性のチャレンジについて解説している。
《ScanNetSecurity》