Cloudflare 推出了基于 AI 的主动式 DAST 扫描器(公开测试版),通过分析 API 调用图并集成到 CI/CD 流水线中,专门针对 BOLA 漏洞。
📝 详细摘要
Cloudflare 宣布其 Web 和 API 漏洞扫描器进入公开测试阶段,这是一款集成在 API Shield 平台中的动态应用安全测试(DAST)工具。首个版本专注于 OWASP API Top 10 中排名第一的威胁——失效的对象级授权(BOLA)。与检测格式错误请求的传统 WAF 不同,该扫描器通过将 API 视为相互关联的调用图,从而识别有效请求中的逻辑缺陷。它利用 Cloudflare Workers AI(特别是 gpt-oss-120b)来映射数据依赖关系并生成合成测试流量,使其适用于预生产环境。后端架构采用 Rust 构建,由 Temporal 进行编排,并使用 HashiCorp Vault 进行端到端凭据加密,以确保安全性。
💡 主要观点
- 从被动式扫描转向主动式 API 漏洞扫描。 与需要现有攻击流量的被动检测不同,这种主动式 DAST 工具会生成合成请求,允许在没有用户流量的开发和测试环境中进行安全测试。
💬 文章金句
- 当今最危险的 API 漏洞不仅仅是 WAF 可以轻易检测到的基本注入攻击或格式错误的请求。它们是逻辑缺陷。
- Cloudflare 认为,发现授权缺陷的最佳方法是将 API 视为调用图,而不是简单的端点列表。
- 该扫描器使用 Cloudflare 自己的 Workers AI 平台来解决这个模糊的问题领域。
📊 文章信息
AI 评分:87
来源:InfoQ
作者:Claudio Masolo
分类:软件编程
语言:英文
阅读时间:3 分钟
字数:635
标签: Cloudflare, API 安全, DAST, BOLA, Workers AI