API Security · by movee

そのAPIエンドポイント、
誰でも叩ける状態になっていませんか。

URLとAPIのベースパスを入力するだけで、Swagger/OpenAPIを自動探索。 エンドポイントが認証なしで外部から実行できる状態になっていないか診断します。

無料で診断する

PROBLEM

こういうケースが実際にあります

/api/users が認証なしで全件返る

ユーザー一覧APIに認証ガードをつけ忘れたまま本番にデプロイされていることがあります。

Swagger UIが本番に残ったまま

開発用に設定したAPIドキュメントが本番環境で外部公開され、全エンドポイントの仕様が丸見えになります。

GraphQLイントロスペクションが有効

GraphQLのスキーマ探索機能が有効なままだと、APIの全構造を外部から取得できます。

/api/admin が404ではなく200を返す

管理者向けAPIが認証なしで正常レスポンスを返している状態は、情報漏洩・操作リスクがあります。

HOW IT WORKS

診断の流れ

01

URLとベースパスを入力

診断したいサイトのURLと、APIのベースパス(/api・/v1 など)を入力します。

02

Swagger/OpenAPIを自動探索

ベースパス配下の13パターンを自動チェックし、API仕様書が公開されていないか確認します。

03

エンドポイントを診断

仕様書が見つかればそこから全エンドポイントを取得。なければ典型的なパスを当てて公開状況を確認します。

PRICING

料金

無料

URLとメールアドレスを入力するだけで、詳細レポートが届きます。

自社APIの公開状況、
一度確認してみませんか。

無料診断を始める

登録不要・クレジットカード不要