API Security · by movee
URLとAPIのベースパスを入力するだけで、Swagger/OpenAPIを自動探索。 エンドポイントが認証なしで外部から実行できる状態になっていないか診断します。
無料で診断するPROBLEM
/api/users が認証なしで全件返る
ユーザー一覧APIに認証ガードをつけ忘れたまま本番にデプロイされていることがあります。
Swagger UIが本番に残ったまま
開発用に設定したAPIドキュメントが本番環境で外部公開され、全エンドポイントの仕様が丸見えになります。
GraphQLイントロスペクションが有効
GraphQLのスキーマ探索機能が有効なままだと、APIの全構造を外部から取得できます。
/api/admin が404ではなく200を返す
管理者向けAPIが認証なしで正常レスポンスを返している状態は、情報漏洩・操作リスクがあります。
HOW IT WORKS
URLとベースパスを入力
診断したいサイトのURLと、APIのベースパス(/api・/v1 など)を入力します。
Swagger/OpenAPIを自動探索
ベースパス配下の13パターンを自動チェックし、API仕様書が公開されていないか確認します。
エンドポイントを診断
仕様書が見つかればそこから全エンドポイントを取得。なければ典型的なパスを当てて公開状況を確認します。
PRICING
無料
URLとメールアドレスを入力するだけで、詳細レポートが届きます。