嘿,HN
我开发了 munshig,这是一个零配置的运行时 API 安全代理,能够在开发过程中监控您的 API,并自动检测诸如访问控制漏洞(BOLA)、缺失身份验证、SQL 注入和个人信息泄露等漏洞——在它们进入生产环境之前。
这个工具的灵感来源于像 Salt Security(每年 50 万美元的企业产品)这样的工具,但设计上可以通过一个命令在 30 秒内运行:
```
npx munshig
```
它位于您的开发 API 前面(例如:从 :3001 转发到 :3000),分析真实的请求和响应,并在您的终端中直接显示运行时安全问题——并提供详细的修复步骤。
GitHub: [https://github.com/shaikhzaynsaif/munshig](https://github.com/shaikhzaynsaif/munshig)
npm: [https://www.npmjs.com/package/munshig](https://www.npmjs.com/package/munshig)
我之所以开发这个工具,是因为我发现即使在大型公司中,API 仍然存在 BOLA 漏洞——大多数扫描器因为静态分析代码而错过这些漏洞,而不是分析运行时的行为。
我非常希望能收到其他开发者的反馈——特别是:
零配置代理的方法是否适合您的工作流程?
您希望它接下来检测哪些类型的漏洞(如 XSS、SSRF、JWT 滥用等)?
谢谢!
—— ZaynSaif(作者)
返回首页
最新
嘿,HN!我是一名计算机科学学生,最近在学习映射算法。我决定以一种有趣的方式将这些知识结合起来,向大家展示谷歌地图的内部工作原理。我结合了在算法课程中学到的知识,以及在线论坛和博客的内容。欢迎告诉我你的想法!