OpenStack Syntribos项目介绍

Syntribos简介

Syntribos是一个开源的API安全性测试工具，由OpenStack Security项目组维护。
可以应用于任何API的测试。

安装

支持pip安装和源码安装两种方式。

pip install syntribos

或者

git clone https://git.openstack.org/openstack/syntribos && cd syntribos
pip install .

使用

初始化

安装完成后，使用命令syntribos init即可初始化。
如果要覆盖旧的环境及配置，可使用命令syntribos init –force即可。

配置

Syntribos的配置主要是待测试服务的API相关的配置，例如API endpoint、测试账号等。
对于待测试服务的每一个API，需要为syntribos提供该API的模板文件，此模板文件描述了访问该API的HTTP请求的内容，包括HTTP方法、URI、认证信息等。

运行测试

使用命令syntribos –config-file keystone.conf run即可运行测试。
–config-file选项指定syntribos配置文件的路径
对于不同服务的API，需要分开单独测试，每次指定相应的配置文件即可。

测试报告

Syntribos的测试结果包含两类：failure和error。
Failure表示某项测试未通过，因此可能存在安全风险。
Error表示测试出现异常。

Syntribos检查项

Syntribos有以下检查项：缓存溢出、命令行注入、跨域资源共享、整数溢出、LDAP注入、SQL注入、字符串验证、XML外部实体攻击、跨站脚本攻击等。
Syntribos支持自定义检查项。

Syntribos应用情况

目前，Syntribos社区活跃度很低，主要是Rackspace和Intel两家公司参与。
Syntribos在OpenStack社区的应用也很少，该项目还处于开发阶段，尚未成熟稳定。