Ferramentas de segurança - AI Security Hub

🔎 Ferramentas de teste de segurança de aplicativos dinâmicos (DAST)

Ferramentas que enviam solicitações a APIs em execução para detectar vulnerabilidades.

Burp Suite Edição comercial/gratuita disponível

A ferramenta padrão do setor para testes de segurança de APIs e aplicativos da Web. Recursos de interceptação e varredura baseados em proxy.

Interceptar e modificar solicitações/respostas HTTP
Varredura automatizada (injeção de SQL, XSS, etc.)
Intruso: Fuzzing de parâmetros
Repetidor: Repetição e verificação manual de solicitações
Rico ecossistema de extensões (BApp Store)

Dicas de teste de API

Importe uma definição OpenAPI/Swagger para rastrear e testar automaticamente todos os endpoints.

OWASP ZAP Livre / OSS

Uma ferramenta de teste de segurança de código aberto desenvolvida pela OWASP. Fácil de integrar aos pipelines de CI/CD.

Varredura ativa / Varredura passiva
Importar definições de API (OpenAPI, GraphQL)
Integração de CI/CD (GitHub Actions, Jenkins)
Execução sem cabeça com suporte ao Docker
Testes personalizados por meio de scripts

BashVarredura de API com o ZAP Docker

docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \
  -t https://api.example.com/openapi.json \
  -f openapi \
  -r report.html

🧪 Ferramentas de teste e desenvolvimento de API

Postman Gratuito/Comercial

A ferramenta ideal para desenvolvimento e teste de API. Também é útil para testes de segurança.

Organize os casos de teste com o recurso Collections (Coleções)
Alternar entre preparação/produção com variáveis de ambiente
Aquisição automática de tokens com scripts de pré-solicitação
Automatize a validação da resposta na guia Testes
Executar a partir de CI/CD com Newman (CLI)

JavaScriptExemplo de script de teste do Postman

// Validação do código de status
pm.test("Status is 200", () => {
  pm.response.to.have.status(200);
});

// Validação do cabeçalho de segurança
pm.test("Security headers present", () => {
  pm.response.to.have.header("X-Content-Type-Options");
  pm.response.to.have.header("Strict-Transport-Security");
});

// Verificar a exposição de dados confidenciais
pm.test("No sensitive data exposed", () => {
  const body = pm.response.json();
  pm.expect(body).to.not.have.property("password");
  pm.expect(body).to.not.have.property("password_hash");
  pm.expect(body).to.not.have.property("secret");
});

curl + jq Grátis / CLI

Teste rápido de API a partir da linha de comando. Fácil de criar scripts e automatizar.

Disponível em qualquer ambiente
Automatizar com scripts de shell
Analisar respostas JSON com jq
Inspeção detalhada do cabeçalho HTTP

BashVerificação do cabeçalho de segurança

# Verificar os cabeçalhos de resposta
curl -s -D - -o /dev/null https://api.example.com/health

# Tentativa de acesso sem autenticação
curl -s -w "%{http_code}" https://api.example.com/api/users

# Teste BOLA (acesso ao recurso de outro usuário)
curl -s -H "Authorization: Bearer $TOKEN" \
  https://api.example.com/api/users/OTHER_USER_ID

📊 Análise estática (SAST) e análise de composição de software (SCA)

Semgrep Livre / OSS

Uma ferramenta de análise estática baseada em padrões. Fácil de criar regras personalizadas.

Suporte a vários idiomas (JS, Python, Go, Java, etc.)
Conjuntos de regras de segurança incorporados
Fácil integração de CI/CD
Definir regras personalizadas em YAML

Snyk Camada gratuita disponível

Verificação de vulnerabilidade de dependência e análise de código.

Verificação de dependências para npm, pip, Maven, etc.
Detecção automática de CVEs conhecidos
Geração automática de PRs de correção
Digitalização de imagens de contêineres

npm audit / Trivy Gratuito

Verificação de vulnerabilidade para gerenciadores de pacotes e contêineres.

npm audit: pacotes do Node.js
pip audit: Pacotes Python
Trivy: Contêineres, IaC e sistemas de arquivos
Ideal para controle de CI/CD

BashVerificação de vulnerabilidade de dependência

# Verificar as dependências do Node.js
npm audit --production

# Verificação de segurança com Semgrep
semgrep --config=p/security-audit ./src

# Escaneamento de contêineres com Trivy
trivy image --severity HIGH,CRITICAL myapp:latest

📝 Gerenciamento de documentação e especificação de API

Swagger / OpenAPI Especificação padrão

Definir especificações de API em um formato legível por máquina. Também usado como entrada para testes de segurança.

Definição abrangente de endpoints, parâmetros e respostas
Esquemas de segurança explícitos (OAuth, chave de API, etc.)
Importar para o ZAP/Burp para automatizar os testes
Geração de documentação interativa com a interface de usuário do Swagger

Spectral Gratuito / OSS

Uma ferramenta de interface para especificações OpenAPI. Verifica a conformidade com as práticas recomendadas de segurança.

Verificar a presença de definições de esquema de segurança
Detectar endpoints não autenticados
Aplicar políticas internas com regras personalizadas
Porta de qualidade para especificações de API em CI/CD

📡 Ferramentas de monitoramento e registro

Gateway de API

Kong, AWS API Gateway, Apigee e outros.

Autenticação e autorização centralizadas
Aplicação de limitação de taxa
Agregação de registros de solicitações
Alertas de detecção de anomalias

WAF

AWS WAF, Cloudflare, ModSecurity e outros.

Bloqueio de padrões de ataque, como SQLi/XSS
Controle de acesso baseado em GeoIP
Mitigação de bots
Definições de regras personalizadas

SIEM / Análise de registros

ELK Stack, Splunk, Datadog e outros.

Agregação e visualização de registros de API
Detecção de padrões anômalos
Suporte à resposta a incidentes
Auditoria de conformidade

🤖 AI Security Testing Tools

Specialized tools for testing and securing LLMs, AI agents, and ML pipelines.

Garak Free / OSS

LLM vulnerability scanner that probes for prompt injection, data leakage, hallucination, and other LLM-specific weaknesses.

Automated prompt injection and jailbreak testing
Data leakage and memorization detection
Plugin-based architecture for custom probes
Supports OpenAI, Hugging Face, and local models

BashLLM Vulnerability Scan with Garak

# Install garak
pip install garak

# Run prompt injection probes against an OpenAI model
garak --model_type openai --model_name gpt-4 \
  --probes promptinject

# Run all probes and generate report
garak --model_type openai --model_name gpt-4 \
  --probes all --report_prefix my_audit

OWASP Reference

Addresses: LLM01: Prompt Injection, LLM06: Excessive Agency

Rebuff Free / OSS

Prompt injection detection framework with multi-layer defense: heuristics, LLM-based analysis, and vector similarity.

Multi-layered detection (heuristic + AI + vector DB)
Canary token injection for leak detection
Easy integration as middleware
Configurable sensitivity thresholds

OWASP Reference

Addresses: LLM01: Prompt Injection

NeMo Guardrails Free / OSS (NVIDIA)

Runtime guardrails framework for LLM applications. Define conversation boundaries using Colang rules.

Topic boundary enforcement (prevent off-topic responses)
Fact-checking and hallucination reduction rails
Sensitive data detection and PII redaction
Moderation and toxicity filtering

OWASP Reference

Addresses: LLM02: Insecure Output Handling, ASI07: Inadequate Guardrails

PyRIT Free / OSS (Microsoft)

Python Risk Identification Tool for generative AI. Automates red-teaming with multi-turn attack strategies.

Automated multi-turn red-teaming conversations
Attack strategy orchestration (crescendo, PAIR, etc.)
Scoring engine for response evaluation
Supports Azure OpenAI, Hugging Face, and local models

OWASP Reference

Addresses: LLM01: Prompt Injection, LLM07: Insecure Plugin Design

🗺 Guia de seleção de ferramentas

Finalidade	Ferramenta recomendada	Cronograma
Verificação de segurança da especificação da API	Spectral	Fase de projeto/especificação
Análise de segurança de código	Semgrep	Desenvolvimento / RP
Verificação de vulnerabilidade de dependência	Snyk / npm audit	Tempo de construção / periódico
Teste manual de segurança	Burp Suite / Postman	Fase de teste/QA
Verificação automatizada (CI/CD)	OWASP ZAP	Pré-implantação
Proteção do ambiente de produção	WAF + API Gateway	Em operação
Monitoramento de registros e detecção de anomalias	SIEM (ELK / Datadog)	Em operação / Contínuo
LLM vulnerability scanning	Garak / PyRIT	Pre-deployment / Periodic
Prompt injection detection	Rebuff	Runtime / Integration
LLM runtime guardrails	NeMo Guardrails	Runtime / Continuous
AI red-teaming automation	PyRIT	Testing / QA phase
AI model supply chain verification	Semgrep / ModelScan	Build time / Pre-deployment

Ferramentas de segurança de API

🔎 Ferramentas de teste de segurança de aplicativos dinâmicos (DAST)

Burp Suite Edição comercial/gratuita disponível

OWASP ZAP Livre / OSS

🧪 Ferramentas de teste e desenvolvimento de API

Postman Gratuito/Comercial

curl + jq Grátis / CLI

📊 Análise estática (SAST) e análise de composição de software (SCA)

Semgrep Livre / OSS

Snyk Camada gratuita disponível

npm audit / Trivy Gratuito

📝 Gerenciamento de documentação e especificação de API

Swagger / OpenAPI Especificação padrão

Spectral Gratuito / OSS

📡 Ferramentas de monitoramento e registro

Gateway de API

WAF

SIEM / Análise de registros

🤖 AI Security Testing Tools

Garak Free / OSS

Rebuff Free / OSS

NeMo Guardrails Free / OSS (NVIDIA)

PyRIT Free / OSS (Microsoft)

🗺 Guia de seleção de ferramentas