Sécurité API Open Source

Détectez chaque vulnérabilité de l'OWASP API Top 10 — avant qu'elle n'atteigne la production.

Trouvez les vulnérabilités de l'OWASP API Top 10 avant les attaquants. Exécutez VulnAPI dans votre CI/CD et obtenez des correctifs exploitables — pas seulement des alertes.

VulnAPI

Conçu pour les équipes soucieuses de la sécurité.

Détectez les vulnérabilités avant vos utilisateurs — ou vos auditeurs.

🔍

Analyse complète

Détecte les vulnérabilités allant de l'authentification défaillante aux erreurs de configuration de sécurité, couvrant l'OWASP API Top 10.

Intégration CI/CD facile

S'intègre parfaitement dans vos pipelines existants pour des contrôles de sécurité continus et automatisés.

🔓

Open Source

Projet communautaire publié sous licence MIT.

📋

Insights exploitables

Rapports détaillés avec des recommandations de remédiation claires pour savoir exactement quoi corriger.

🛡️

Mis à jour continuellement

La communauté maintient les capacités de détection des menaces à jour avec les vulnérabilités émergentes.

⚙️

Analyse personnalisable

Adaptez les évaluations de sécurité à vos besoins et environnements spécifiques.

Une sécurité qui suit votre code.

VulnAPI s’intègre directement dans votre flux de travail — analysant vos API automatiquement, faisant remonter les vulnérabilités réelles et vous indiquant exactement comment les corriger.

🔍

Analysez vos API et voyez chaque vulnérabilité en quelques secondes.

Pointez VulnAPI vers n’importe quel point de terminaison REST ou GraphQL et obtenez une image complète de votre surface d’attaque. Chaque résultat est associé directement à une catégorie de l’OWASP API Top 10 avec un niveau de gravité — pour que vous sachiez ce qui est critique et ce qui peut attendre.

Résultats de l’analyse — api.acmecorp.com
4 vulnérabilités trouvées2 points de terminaison analysés
critique

Authentification défaillante

POST /auth/token

API2:2023
haute

Autorisation défaillante au niveau des propriétés d’objet

GET /users/{id}

API3:2023
haute

Server Side Request Forgery (SSRF)

POST /webhooks

API7:2023
moyenne

Erreur de configuration de sécurité

GET /health

API8:2023
GitHub Actions — security.yml
build
terminé en 42s
unit-tests
terminé en 1m 03s
vulnapi-scan
en cours...
deploy-staging
en attente
▶ vulnapi scan —url $API_BASE_URL —format sarifAnalyse de 6 points de terminaison…⚠ 1 critique, 2 hautes, 1 moyenne trouvées✖ Seuil dépassé — blocage du merge

Bloquez le code vulnérable avant qu’il ne soit fusionné.

Intégrez VulnAPI dans n’importe quel pipeline CI/CD en une seule étape. Définissez des seuils de gravité pour faire échouer automatiquement les builds lorsque des vulnérabilités critiques sont détectées — afin que les API non sécurisées n’atteignent jamais la pré-production ou la production. Fonctionne avec GitHub Actions, GitLab CI, Jenkins, et plus encore.

📋

Pas seulement des alertes — un chemin clair vers le correctif.

Chaque résultat comprend une description claire de la vulnérabilité, la requête exacte qui l’a déclenchée et des étapes de remédiation concrètes que votre équipe peut appliquer immédiatement. Plus de devinettes, plus besoin de chercher dans la doc OWASP à 2h du matin.

Détail du résultat
CRITIQUE

Authentification défaillante

API2:2023 · POST /auth/token

Description

Le point de terminaison du jeton n’applique pas de limitation de débit ou de verrouillage de compte. Un attaquant peut effectuer un nombre illimité d’attaques par bourrage d’identifiants (credential stuffing) ou par force brute sans déclencher de blocage.

Déclenché par

POST /auth/token HTTP/1.1
Content-Type: application/json


{"username":"admin","password":"..."}
# 200 OK après 1000 tentatives

Remédiation

  • Implémenter une limitation de débit (ex: 5 tentatives / 15 min par IP)
  • Ajouter un délai exponentiel après des tentatives infructueuses
  • Retourner 429 Too Many Requests en cas de dépassement de seuil
OWASP API Top 10 — Couverture 2023
API1Autorisation défaillante au niveau des objets
API2Authentification défaillante
API3Autorisation défaillante au niveau des propriétés d’objet
API4Consommation de ressources non restreinte
API5Autorisation défaillante au niveau des fonctions métier
API6Accès non restreint à des flux métier sensibles
API7Server Side Request Forgery (SSRF)
API8Erreur de configuration de sécurité
API9Gestion d’inventaire impropre
API10Consommation non sécurisée d’API

🛡️

Couverture complète de l’OWASP API Top 10. Prêt à l’emploi.

VulnAPI détecte les dix catégories de vulnérabilités de l’OWASP API Security Top 10 — de l’authentification défaillante et SSRF aux erreurs de configuration de sécurité et à la gestion d’inventaire impropre. Pas de plugins, pas de config supplémentaire. Un seul outil, une couverture complète.

Prêt à commencer ?

Trouvez les vulnérabilités de l'OWASP API Top 10 avant les attaquants. Exécutez VulnAPI dans votre CI/CD et obtenez des correctifs exploitables — pas seulement des alertes.

Voir sur GitHub