Aller au contenu

Votre première analyse

Le moyen le plus rapide d’essayer VulnAPI est d’utiliser vulnapi scan curl. Cela fonctionne comme curl — pointez-le vers n’importe quel point de terminaison HTTP et il commencera immédiatement à tester les vulnérabilités.

Terminal window
vulnapi scan curl https://api.example.com/endpoint

C’est tout. VulnAPI envoie une série de requêtes conçues au point de terminaison et affiche un rapport.

Analyser un point de terminaison authentifié

Section titled “Analyser un point de terminaison authentifié”

La plupart des API réelles nécessitent une authentification. Transmettez un en-tête Authorization de la même manière que vous le feriez avec curl :

Terminal window
vulnapi scan curl https://api.example.com/endpoint \
-H "Authorization: Bearer eyJhbGciOiJIUzI1NiJ9..."

Vous pouvez répéter -H pour des en-têtes supplémentaires (clés d’API, en-têtes personnalisés, etc.) :

Terminal window
vulnapi scan curl https://api.example.com/endpoint \
-H "Authorization: Bearer <token>" \
-H "X-API-Key: <key>"

Analyser un point de terminaison qui n’est pas en GET

Section titled “Analyser un point de terminaison qui n’est pas en GET”

Utilisez -X pour définir la méthode HTTP et -d pour envoyer un corps de requête :

Terminal window
vulnapi scan curl https://api.example.com/login \
-X POST \
-d '{"username":"alice","password":"secret"}' \
-H "Content-Type: application/json"

Une fois l’analyse terminée, VulnAPI affiche un tableau comme celui-ci :

| OPERATION | RISK LEVEL | CVSS 4.0 SCORE | OWASP | VULNERABILITY |
|-----------------------------|------------|----------------|--------------------------|-----------------------------|
| GET /endpoint | High | 9.3 | API2:2023 Broken Auth | JWT Token is not verified |
| GET /endpoint | Medium | 5.1 | API8:2023 Security Misc | X-Frame-Options is missing |
| GET /endpoint | Info | 0.0 | API8:2023 Security Misc | HSTS Header is missing |
ColonneSignification
OPERATIONLa méthode HTTP et le chemin qui ont été testés
RISK LEVELSévérité : Info / Low / Medium / High / Critical
CVSS 4.0 SCOREScore numérique de 0.0 à 10.0
OWASPLa catégorie OWASP API Security Top 10
VULNERABILITYUne brève description du résultat

Une analyse sans aucune ligne dans le tableau des vulnérabilités signifie que VulnAPI n’a rien trouvé avec un score CVSS supérieur au seuil par défaut de 1.0. C’est un bon signe, mais pas une garantie — VulnAPI recherche un ensemble spécifique de vulnérabilités connues.