API-Sicherheits-Tools

Einführung von nützlichen Tools für die Bewertung, Prüfung und Überwachung von API-Schwachstellen.

🔎 Tools zur Prüfung der dynamischen Anwendungssicherheit (DAST)

Tools, die Anfragen an laufende APIs senden, um Schwachstellen zu erkennen.

Burp Suite Kommerzielle / kostenlose Version verfügbar

Das Industriestandard-Tool für Webanwendungs- und API-Sicherheitstests. Proxy-basierte Abhör- und Scan-Funktionen.

  • Abfangen und Ändern von HTTP-Anfragen/Antworten
  • Automatisiertes Scannen (SQL Injection, XSS, etc.)
  • Eindringling: Parameter-Fuzzing
  • Wiederholer: Manuelle Wiederholung und Überprüfung von Anfragen
  • Reichhaltiges Ökosystem für Erweiterungen (BApp Store)
Tipps für API-Tests

Importieren Sie eine OpenAPI/Swagger-Definition, um alle Endpunkte automatisch zu crawlen und zu testen.

OWASP ZAP Frei / OSS

Ein von OWASP entwickeltes Open-Source-Tool für Sicherheitstests. Leicht in CI/CD-Pipelines zu integrieren.

  • Aktiver Scan / Passiver Scan
  • API-Definitionen importieren (OpenAPI, GraphQL)
  • CI/CD-Integration (GitHub-Aktionen, Jenkins)
  • Kopflose Ausführung mit Docker-Unterstützung
  • Benutzerdefinierte Tests über Skripting
BashAPI-Scannen mit ZAP Docker
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \
  -t https://api.example.com/openapi.json \
  -f openapi \
  -r report.html

🧪 API-Test- und Entwicklungswerkzeuge

Postman Kostenlos / Kommerziell

Das Tool der Wahl für die Entwicklung und Prüfung von APIs. Auch nützlich für Sicherheitstests.

  • Organisieren von Testfällen mit der Funktion Sammlungen
  • Umschalten zwischen Inszenierung/Produktion mit Umgebungsvariablen
  • Automatische Beschaffung von Token mit Pre-Request-Skripten
  • Automatisieren Sie die Antwortvalidierung auf der Registerkarte Tests
  • Ausführen von CI/CD mit Newman (CLI)
JavaScriptPostman Testskriptum Beispiel
// Überprüfung des Statuscodes
pm.test("Status is 200", () => {
  pm.response.to.have.status(200);
});

// Validierung von Sicherheits-Headern
pm.test("Security headers present", () => {
  pm.response.to.have.header("X-Content-Type-Options");
  pm.response.to.have.header("Strict-Transport-Security");
});

// Prüfung auf Exposition sensibler Daten
pm.test("No sensitive data exposed", () => {
  const body = pm.response.json();
  pm.expect(body).to.not.have.property("password");
  pm.expect(body).to.not.have.property("password_hash");
  pm.expect(body).to.not.have.property("secret");
});

curl + jq Frei / CLI

Schnelle API-Tests über die Befehlszeile. Einfach zu skripten und zu automatisieren.

  • In jeder Umgebung verfügbar
  • Automatisieren mit Shell-Skripten
  • Parsen von JSON-Antworten mit jq
  • Detaillierte Prüfung der HTTP-Header
BashPrüfung des Sicherheitskopfes
# Antwort-Header prüfen
curl -s -D - -o /dev/null https://api.example.com/health

# Zugriffsversuch ohne Authentifizierung
curl -s -w "%{http_code}" https://api.example.com/api/users

# BOLA-Test (Zugriff auf die Ressource eines anderen Benutzers)
curl -s -H "Authorization: Bearer $TOKEN" \
  https://api.example.com/api/users/OTHER_USER_ID

📊 Statische Analyse (SAST) & Software-Kompositionsanalyse (SCA)

Semgrep Frei / OSS

Ein auf Mustern basierendes Werkzeug zur statischen Analyse. Einfache Erstellung benutzerdefinierter Regeln.

  • Unterstützung mehrerer Sprachen (JS, Python, Go, Java, usw.)
  • Integrierte Sicherheitsregelsätze
  • Einfache CI/CD-Integration
  • Benutzerdefinierte Regeln in YAML definieren

Snyk Kostenloses Tier verfügbar

Scannen auf Sicherheitslücken und Code-Analyse in Abhängigkeiten.

  • Suche nach Abhängigkeiten für npm, pip, Maven, etc.
  • Automatische Erkennung von bekannten CVEs
  • Automatische Erstellung von Korrektur-PRs
  • Scannen von Containerbildern

npm audit / Trivy Frei

Schwachstellenprüfung für Paketmanager und Container.

  • npm audit: Node.js-Pakete
  • pip audit: Python-Pakete
  • Trivy: Container, IaC und Dateisysteme
  • Ideal für CI/CD-Gating
BashPrüfung der Abhängigkeit auf Anfälligkeit
# Node.js-Abhängigkeiten prüfen
npm audit --production

# Sicherheitsscan mit Semgrep
semgrep --config=p/security-audit ./src

# Container-Scan mit Trivy
trivy image --severity HIGH,CRITICAL myapp:latest

📝 Verwaltung der API-Spezifikation und Dokumentation

Swagger / OpenAPI Standardspezifikation

Definition von API-Spezifikationen in einem maschinenlesbaren Format. Wird auch als Input für Sicherheitstests verwendet.

  • Umfassende Definition von Endpunkten, Parametern und Antworten
  • Explizite Sicherheitsverfahren (OAuth, API-Schlüssel usw.)
  • Import in ZAP/Burp zur Automatisierung von Tests
  • Interaktive Dokumentationserstellung mit Swagger UI

Spectral Frei / OSS

Ein Linter-Tool für OpenAPI-Spezifikationen. Prüft die Einhaltung der bewährten Sicherheitspraktiken.

  • Überprüfung auf das Vorhandensein von Sicherheitsschemadefinitionen
  • Erkennung nicht authentifizierter Endpunkte
  • Durchsetzung interner Richtlinien mit benutzerdefinierten Regeln
  • Qualitätskontrolle für API-Spezifikationen in CI/CD

📡 Überwachungs- und Protokollierungswerkzeuge

API-Gateway

Kong, AWS API Gateway, Apigee, und andere.

  • Zentralisierte Authentifizierung und Autorisierung
  • Durchsetzung der Ratenbegrenzung
  • Log-Aggregation anfordern
  • Warnmeldungen zur Erkennung von Anomalien

WAF

AWS WAF, Cloudflare, ModSecurity und andere.

  • Angriffsmuster wie SQLi/XSS blockieren
  • GeoIP-basierte Zugangskontrolle
  • Bot-Abschwächung
  • Benutzerdefinierte Regeldefinitionen

SIEM / Log-Analyse

ELK Stack, Splunk, Datadog, und andere.

  • Aggregation und Visualisierung von API-Protokollen
  • Erkennung anormaler Muster
  • Unterstützung bei der Reaktion auf Vorfälle
  • Prüfung der Einhaltung der Vorschriften

🤖 AI Security Testing Tools

Specialized tools for testing and securing LLMs, AI agents, and ML pipelines.

Garak Free / OSS

LLM vulnerability scanner that probes for prompt injection, data leakage, hallucination, and other LLM-specific weaknesses.

  • Automated prompt injection and jailbreak testing
  • Data leakage and memorization detection
  • Plugin-based architecture for custom probes
  • Supports OpenAI, Hugging Face, and local models
BashLLM Vulnerability Scan with Garak
# Install garak
pip install garak

# Run prompt injection probes against an OpenAI model
garak --model_type openai --model_name gpt-4 \
  --probes promptinject

# Run all probes and generate report
garak --model_type openai --model_name gpt-4 \
  --probes all --report_prefix my_audit
OWASP Reference

Addresses: LLM01: Prompt Injection, LLM06: Excessive Agency

Rebuff Free / OSS

Prompt injection detection framework with multi-layer defense: heuristics, LLM-based analysis, and vector similarity.

  • Multi-layered detection (heuristic + AI + vector DB)
  • Canary token injection for leak detection
  • Easy integration as middleware
  • Configurable sensitivity thresholds
OWASP Reference

Addresses: LLM01: Prompt Injection

NeMo Guardrails Free / OSS (NVIDIA)

Runtime guardrails framework for LLM applications. Define conversation boundaries using Colang rules.

  • Topic boundary enforcement (prevent off-topic responses)
  • Fact-checking and hallucination reduction rails
  • Sensitive data detection and PII redaction
  • Moderation and toxicity filtering
OWASP Reference

Addresses: LLM02: Insecure Output Handling, ASI07: Inadequate Guardrails

PyRIT Free / OSS (Microsoft)

Python Risk Identification Tool for generative AI. Automates red-teaming with multi-turn attack strategies.

  • Automated multi-turn red-teaming conversations
  • Attack strategy orchestration (crescendo, PAIR, etc.)
  • Scoring engine for response evaluation
  • Supports Azure OpenAI, Hugging Face, and local models
OWASP Reference

Addresses: LLM01: Prompt Injection, LLM07: Insecure Plugin Design

🗺 Anleitung zur Werkzeugauswahl

ZweckEmpfohlenes WerkzeugTiming
Sicherheitsprüfung der API-SpezifikationSpectralEntwurfs-/Spezifikationsphase
Analyse der CodesicherheitSemgrepEntwicklung / PR
Prüfung der Anfälligkeit für AbhängigkeitenSnyk / npm auditAufbauzeit / Periodisch
Manuelle SicherheitstestsBurp Suite / PostmanPrüfung / QA-Phase
Automatisiertes Scannen (CI/CD)OWASP ZAPVor Einsatzbeginn
Schutz der ProduktionsumgebungWAF + API GatewayIn Betrieb
Protokollüberwachung und Erkennung von AnomalienSIEM (ELK / Datadog)In Betrieb / Kontinuierlich
LLM vulnerability scanningGarak / PyRITPre-deployment / Periodic
Prompt injection detectionRebuffRuntime / Integration
LLM runtime guardrailsNeMo GuardrailsRuntime / Continuous
AI red-teaming automationPyRITTesting / QA phase
AI model supply chain verificationSemgrep / ModelScanBuild time / Pre-deployment