Syhunt

お知らせNEWS

  1. HOME
  2. -NEWS
  3. -Syhunt Hybrid 7.1.9更新情報(APIスキャン追加)

Syhunt Hybrid 7.1.9更新情報(APIスキャン追加)

この度、Syhunt Hybrid 7.1.9 をリリース。新たにAPIスキャン機能が追加されました。

APIスキャン機能

Syhuntでは、新しく「APIセキュリティスキャナー」の提供を開始いたしました。この機能は Syhunt Hybrid バージョン 7.1.9 以降でご利用いただけます。これまでWebおよびモバイルアプリのセキュリティ分野で実績を築いてきましたが、今回新たにAPIにも範囲を拡大し、最新APIフォーマットに対応した動的なセキュリティテストを提供します。

新しいスキャナーでは、現代的なアプリ構成に対して動的セキュリティテストを行い、30以上のカテゴリ、581種類以上のAPI特有の脆弱性を検出 できます。標準的な攻撃だけでなく、外部通信を利用する高度な攻撃(Out-of-Band攻撃)にも対応しており、高精度かつ誤検知が少ないのが特徴です。API Blueprint、OpenAPI、Swaggerなど、幅広いAPI仕様フォーマットをサポートし、CI/CDパイプライン、課題追跡ツール、WAFプラットフォームとシームレスに統合します。

オンプレミス環境で利用できるため、既存のSyhunt Hybrid InfinityおよびSyhunt Dynamic Infinityのお客様は追加料金なしでご利用いただけます。




<対応API仕様フォーマット>
以下の主要なAPI仕様フォーマットに対応しています。

  • OpenAPI(v2/v3)
  • Swagger(v1/v2/v3)
  • GraphQL(RESTアノテーション対応)
  • API Blueprint
  • RAML
  • WADL
  • Google Discovery
  • I/O Docs


<主な機能>

  • APIの自動クロールおよびマッピング機能
    包括的なエンドポイント検出、アクション、リクエストの識別が迅速かつ手作業なしで可能に。
  • 多言語対応
    ASP.NET Core (C#)、Java (Spring Boot / Jakarta EE)、Node.js、PHP、Python、Rubyなどで開発されたAPI向けに最適化。またWebサーバーおよびプラットフォーム(Windows、Unixなど)に対応。
  • 様々な脆弱性検査に対応
    OWASP Top 10 API Security Risks、OWASP Top 10 Web App Risks、SQLインジェクション(17種類以上のデータベースタイプに対応)、ファイルインクルージョン、コマンド実行など 誤検知のない OAST(Out-of-Band API Security Testing)に対応



◼︎「AAST(API Application Security Testing)」 の定義

「AAST(API Application Security Testing)」 の定義

API向けセキュリティテスト機能を、従来のWebアプリ中心のDAST(Dynamic Application Security Testing)と明確に区別するため、Syhuntでは「AAST(API Application Security Testing)」という呼称を採用します。

これは、MAST(Mobile Application Security Testing)が、モバイル向けのDAST/SASTをWeb向けのセキュリティテストと区別するための一般的な用語として広く認知されているのと同じ考え方です。AAST という用語を用いることで、APIテストを、AST(アプリケーションセキュリティテスト)という大きな枠組みの中における、独立した重要分野として位置づけることができます。

この区別は、さまざまなプラットフォーム向けにセキュリティテストが発展してきた流れにも合致しており、同時に、当社製品がAPI保護に特化したものであることをより明確に示すものでもあります。

さらに、市場において「AASM(API Attack Surface Management)」という関連用語が広まりつつあることも、AASTのような用語の必要性を後押ししています。こうした用語を用いることは、技術者やマーケティング担当者にとって、API向けセキュリティ製品を理解しやすく分類しやすくなります。

Syhuntは、AAST という概念を採用することで、こうした業界の変化に対応し、より明確で業界動向に沿った位置づけを示していきます。




◼︎次回のアップデート予告(随時更新)
今後、動的分析(DAST)、ログベースの検出(FAST)、ソースレベル分析(SAST)を組み合わせることで、APIの保護範囲をさらに拡張し、包括的なAASMへ発展させる予定です。近日リリース予定の「Syhunt API Plus」では、ドキュメント化されたAPI、内部API、Shadow API(※1)、Zombie API(※2)、Orphan API(※3)、外部サービス連携APIなど、あらゆるAPIの自動検出と継続的なセキュリティテストが可能になります。

(※1)Shadow API:管理者が把握していないAPI (※2)Zombie API:古いがまだ残っているAPI (※3)Orphan API:利用主体が不明な放置API




<今回のアップデート内容>

  • APIの脆弱性スキャン機能を追加。現在、WEB UIとCLI(ScanURLコマンド)から利用可能に
  • コンプライアンスレポートに「OWASP Top 10 API 2023年版/2019年版」を追加
  • コードリポジトリのルートに配置する .syhunt-pathignore ファイルに対応
    このファイルにはワイルドカード文字列を1行ずつ記述でき、SAST解析対象から特定パスの除外が可能に
  • DASTおよびSAST分析によるAPI仕様の検出機能を追加
  • CWE Top 25 Most Dangerous Software Weaknessesの探索方法を最新版の文書にあわせて改訂
  • CLI から無効な Hunt Method が指定された場合、致命的エラーを生成するようエラーハンドリングを改善
  • JSON/XML レスポンス解析を改善
  • XML エクスポート生成を改善
  • 「Spider Only」メソッドの名称を「Map Only」に変更
  • .vulnignoreの代わりに .syhunt-vulnignoreファイルを受け付けるよう変更
    なお、既存リポジトリとの互換性維持のため.vulnignoreも引き続きサポート
  • HTTPヘッダー操作のチェックを改訂
  • リストエディターダイアログタイトルに未翻訳テキストが表示される問題(ZGP-LVBGX-958)
  • アクションポップアップの確認・実行後、アジア文字が正しく表示されない問題を修正