Сканеры говорят «все ок», а хакеры уже внутри. Hadrian пришел исправить ситуацию

Найти уязвимость в интерфейсе программирования приложений обычно сложнее, чем кажется. Многие сканеры бодро рапортуют «всё чисто», но при этом не замечают главную проблему – ошибки в проверке прав доступа. Новый открытый инструмент Hadrian как раз нацелен на такие проблемы.

Компания Praetorian выложила в открытый доступ фреймворк для проверки безопасности интерфейсов программирования приложений. Hadrian работает с REST, GraphQL и gRPC и ищет уязвимости из списка OWASP API Top 10.

Инструмент фокусируется на логике авторизации. В конфигурации задают роли пользователей с разными правами, после чего система автоматически проверяет доступ к каждому методу API от имени разных ролей. Такой подход помогает выявлять ситуации, когда пользователь получает доступ к чужим данным или функциям.

Hadrian ищет, в частности, уязвимости класса BOLA и BFLA, связанные с неправильной проверкой прав на уровне объектов и функций. Также инструмент проверяет ошибки аутентификации, избыточное раскрытие данных и проблемы конфигурации.

Для проверки используется трёхэтапная схема. Сначала один пользователь создаёт ресурс, затем другой пытается изменить или удалить ресурс, после чего система проверяет результат. Такой механизм позволяет убедиться, что операция действительно выполнена, а не просто вернулся успешный ответ сервера.

Hadrian использует шаблоны в формате YAML, поэтому сценарии тестирования задаются без написания кода. Встроенные шаблоны покрывают основные категории уязвимостей для разных типов API. Отчёты формируются в текстовом, JSON или Markdown-формате. Инструмент поддерживает различные способы аутентификации, ограничение скорости запросов и работу через прокси. Также предусмотрен режим предварительного просмотра, который показывает, какие проверки будут выполнены, без фактического запуска тестов.

Проект распространяется с открытым исходным кодом.