Aikido
Teste dinâmico de segurança de aplicações (DAST)

Proteja a sua aplicação e APIs dos atacantes

Monitorize a sua aplicação e APIs para encontrar vulnerabilidades como injeção de SQL, XSS e CSRF - tanto à superfície como através de DAST autenticado.

  • Encontre os 10 principais riscos do OWASP
  • Descoberta automatizada de API (Rest & GraphQL)
  • Analise a sua aplicação Web e todos os pontos de extremidade da API
  • Dar prioridade aos problemas críticos do front-end
Com a confiança de mais de 25 mil organizações | Veja os resultados em 30 segundos.
Painel de instrumentos com separador de autofixações

"Com o Aikido, podemos resolver um problema em apenas 30 segundos - clicar num botão, fundir o PR e está feito."

"A funcionalidade de correção automática do Aikido é uma enorme poupança de tempo para as nossas equipas. Corta o ruído, para que os nossos programadores se possam concentrar no que realmente importa."

"Com o Aikido, a segurança é apenas parte da forma como trabalhamos agora. É rápido, integrado e realmente útil para os programadores."

Escolhido por mais de 25.000 organizações em todo o mundo

O seu front end é um parque de diversões para os hackers - vamos mostrar-lhe o que pode ser explorado

O scanner DAST do Aikido mostra onde a sua aplicação é mais vulnerável para que possa colmatar as falhas de segurança antes que os atacantes as encontrem.

  • Verificar o que um hacker pode utilizar para explorar
  • Digitalize automaticamente sem quebrar o seu front-end
  • Prevenir explorações e vulnerabilidades antes que elas ocorram
app.mindmeld.ai
mindmeld.ai/blog/articles/.../post
mindmeld.ai/.env
docs.mindmeld.ai
mindmeld.ai
Novo problema de superfície de ataque
Cabeçalho anti-clickjacking em falta
Resolver o problema
Ignorar

Descoberta e segurança automatizada de API

Vá além das verificações regulares de código. Descubra e analise automaticamente as APIs em busca de vulnerabilidades e falhas. Simule ataques reais e verifique cada ponto de extremidade da API em busca de ameaças comuns à segurança.

  • Obter documentos Swagger / especificações OpenAPI actualizados
  • Encontre mais vulnerabilidades com a DAST sensível ao contexto
  • Reduzir o trabalho manual
Caraterísticas

Caraterísticas do DAST do Aikido

Saber o que está exposto. Para poder corrigir o que interessa.

As análises DAST do Aikido dão-lhe uma visão geral completa do que está exposto e do que não deveria estar. Assim, você pode ver facilmente onde seu aplicativo é mais vulnerável. Proteja seus pontos de extremidade REST e GraphQL.

Proteger aplicações auto-hospedadas

O nosso scanner baseado em Núcleos verifica as suas aplicações auto-hospedadas em busca de vulnerabilidades comuns. Não quer que o seu servidor GitLab ou site WordPress seja pirateado, certo?

Wordpress
Jira
Laravel
GitLab
Magento
Prestashop
Grafana
Woocommerce
Nginx
Drupal
Joomla

DAST autenticado

Com o Authenticated DAST, pode testar se os utilizadores com sessão iniciada podem quebrar a sua aplicação ou aceder a dados sensíveis. O scanner inicia sessão como um utilizador real, expondo vulnerabilidades mais profundas e garantindo a segurança dos seus tokens JWT.

Conselhos práticos

Traduzimos gírias de segurança complexas para uma linguagem legível para que possa compreender facilmente o problema e se este o afecta. Evite a pesquisa e encontre uma solução rapidamente.

Verificações automáticas

Uma vez configurado, os scans DAST são executados diariamente e notificá-lo-ão apenas quando forem descobertas novas vulnerabilidades relevantes. Escolha onde deseja receber alertas: Email, Slack...

Combinações tóxicas

As combinações tóxicas são vulnerabilidades que, combinadas, criam ameaças críticas. Pense numa vulnerabilidade de injeção de SQL combinada com um painel de administração mal configurado. O DAST do Aikido marcará estas descobertas como mais críticas.

Domínios pendentes

Impedir a apropriação de subdomínios.

Analise os registos DNS para encontrar subdomínios que apontem para serviços mortos, ou seja, domínios pendentes. Impeça os sequestros antes que eles aconteçam, sem necessidade de configuração.

Seguro para funcionar na produção

O Aikido testa o seu front-end em busca de vulnerabilidades DAST comuns, mas não efectua quaisquer testes que possam quebrar a sua aplicação, como tentativas automatizadas de injeção de SQL, etc.

Cobertura total numa única plataforma

Substitua o seu conjunto de ferramentas disperso por uma plataforma que faz tudo - e mostra-lhe o que interessa.

Código

Dependências

Encontre pacotes open-source vulneráveis nas suas dependências, incluindo os transitivos.

Saiba mais
Cloud

Cloud CSPM)

Detecta riscos de infraestrutura de nuvem (configurações incorrectas, VMs, imagens Container ) nos principais fornecedores de nuvem.

Saiba mais
Código

Secrets

Verifica se o seu código contém chaves de API, palavras-passe, certificados, chaves de encriptação, etc., que tenham sido divulgadas e expostas.

Saiba mais
Código

Análise de código estático (SAST)

Analisa o código-fonte em busca de riscos de segurança antes que um problema possa ser mesclado.

Saiba mais
Código

Infrastructure as Code Scanning (IaC)

Analisa a infraestrutura como código do Terraform, CloudFormation e Kubernetes para detetar configurações incorrectas.

Saiba mais
Teste

Ensaios dinâmicos (DAST)

Testa dinamicamente o front-end e as APIs da sua aplicação Web para encontrar vulnerabilidades através de ataques simulados.

Saiba mais
Código

Risco de licença e SBOMs

Monitoriza as suas licenças quanto a riscos, tais como licenciamento duplo, termos restritivos, má reputação, etc... E gera SBOMs.

Saiba mais
Código

Software desatualizado (EOL)

Verifica se as estruturas e os tempos de execução que está a utilizar já não são mantidos.

Saiba mais
Cloud

Imagens Container

Analisa as imagens do seu container em busca de pacotes com problemas de segurança.

Saiba mais
Código

Malware

Evite que pacotes maliciosos se infiltrem na sua cadeia de fornecimento de software. Desenvolvido por Aikido Intel.

Saiba mais
Teste

Verificação da API

Mapeie e analise automaticamente a sua API em busca de vulnerabilidades.

Saiba mais
Cloud

Máquinas virtuais

Examina suas máquinas virtuais em busca de pacotes vulneráveis, tempos de execução desatualizados e licenças de risco.

Saiba mais
Defender

Proteção em tempo de execução

Uma firewall in-app para maior tranquilidade. Bloqueie automaticamente ataques de injeção críticos, introduza a limitação da taxa de API e muito mais

Saiba mais
Código

Integrações IDE

Corrija os problemas enquanto codifica - não depois. Obtenha aconselhamento em linha para corrigir vulnerabilidades antes de fazer o commit.

Saiba mais
Código

Scanner no local

Execute os scanners do Aikido no seu ambiente.

Saiba mais
Código

Segurança CI/CD

Automatize a segurança para cada compilação e implantação.

Saiba mais
Cloud

AI Autofix

Correcções com um clique para SAST, IaC, SCA e contentores.

Saiba mais
Cloud

Pesquisa de activos Cloud

Pesquise todo o seu ambiente de nuvem com consultas simples para encontrar instantaneamente riscos, configurações incorretas e exposições.

Saiba mais
Integrações

Não interrompa o fluxo de desenvolvimento

Ligue a sua gestão de tarefas, ferramenta de mensagens, suite de conformidade e CI para acompanhar e resolver problemas nas ferramentas que já utiliza.
Jira
Jira
Microsoft Teams
Microsoft Teams
GitLab
GitLab
YouTrack
YouTrack
Segunda-feira
Segunda-feira
Drata
Drata
Tubos BitBucket
Tubos BitBucket
GitHub
GitHub
Vanta
Vanta
VSCode
VSCode
Pipelines do Azure
Pipelines do Azure
Asana
Asana
ClickUp
ClickUp
YouTrack
YouTrack
VSCode
VSCode
Vanta
Vanta
Segunda-feira
Segunda-feira
Jira
Jira
GitLab
GitLab
GitHub
GitHub
Drata
Drata
ClickUp
ClickUp
Tubos BitBucket
Tubos BitBucket
Pipelines do Azure
Pipelines do Azure
Asana
Asana
Microsoft Teams
Microsoft Teams
YouTrack
YouTrack
VSCode
VSCode
Vanta
Vanta
Segunda-feira
Segunda-feira
Jira
Jira
GitLab
GitLab
GitHub
GitHub
Drata
Drata
ClickUp
ClickUp
Tubos BitBucket
Tubos BitBucket
Pipelines do Azure
Pipelines do Azure
Asana
Asana
Microsoft Teams
Microsoft Teams
YouTrack
YouTrack
VSCode
VSCode
Vanta
Vanta
Segunda-feira
Segunda-feira
Jira
Jira
GitLab
GitLab
GitHub
GitHub
Drata
Drata
ClickUp
ClickUp
Tubos BitBucket
Tubos BitBucket
Pipelines do Azure
Pipelines do Azure
Asana
Asana
Microsoft Teams
Microsoft Teams
YouTrack
YouTrack
VSCode
VSCode
Vanta
Vanta
Segunda-feira
Segunda-feira
Jira
Jira
GitLab
GitLab
GitHub
GitHub
Drata
Drata
ClickUp
ClickUp
Tubos BitBucket
Tubos BitBucket
Pipelines do Azure
Pipelines do Azure
Asana
Asana
Microsoft Teams
Microsoft Teams
ClickUp
ClickUp
GitHub
GitHub
Asana
Asana
YouTrack
YouTrack
Tubos BitBucket
Tubos BitBucket
Drata
Drata
Pipelines do Azure
Pipelines do Azure
Vanta
Vanta
VSCode
VSCode
GitLab
GitLab
Segunda-feira
Segunda-feira
Microsoft Teams
Microsoft Teams
Jira
Jira
Sem preços ridículos
Sem suplementos dispendiosos
Sem custos de instalação

Preços fixos justos

Quer seja um programador individual ou uma grande empresa, o Aikido adapta-se às suas necessidades. O nosso preço fixo inicial inclui todos os scanners numa única aplicação. Só paga pelos utilizadores que precisam de aceder ao Aikido.
Comece gratuitamente

Construído com segurança

A segurança está integrada na estrutura dos nossos produtos, equipa, infraestrutura e processos, pelo que pode ter a certeza de que os seus dados estão protegidos.
SOC2
Conformidade
27001
Conformidade
Acesso só de leitura
Não há chaves do nosso lado
Tokens de acesso de curta duração
Contentores de ancoragem separados
Os dados não serão partilhados, nunca.
Revisão

"Melhor relação qualidade/preço"

"A melhor relação qualidade/preço. Vindo da Snyk, era demasiado caro e o Aikido tem melhores capacidades SAST. O mecanismo que evita os falsos positivos é excelente"

Testemunho de Konstantin S Aikido
Konstantin S
Diretor de Segurança da Informação da OSOME Pte. Ltd.
Revisão

"O Aikido é verdadeiramente a realização do impossível"

"Pensava que a verificação de segurança 9 em 1 era mais marketing do que realidade, mas a Aikido está realmente a conseguir o impossível com um compromisso de abertura que nunca tinha visto antes. Uma recomendação óbvia para empresas em fase de arranque!"

James B - Testemunho de Aikido
James B
Investigador de segurança Cloud

O que é o DAST (Dynamic Application Security Testing) e porque é que preciso dele para a minha aplicação Web?

O teste dinâmico de segurança de aplicações (DAST) significa analisar uma aplicação Web em execução a partir do exterior (caixa negra), semelhante à forma como um atacante sondaria o seu site. É importante porque encontra problemas de segurança que só aparecem quando a aplicação está em funcionamento - por exemplo, configurações incorrectas ou fluxos de autenticação quebrados que não seriam aparentes apenas olhando para o código. Em suma, a DAST permite-lhe detetar vulnerabilidades reais na sua aplicação Web antes dos atacantes.

Como é que o scanner DAST do Aikido funciona - simula ataques reais no front end da minha aplicação?

Não exatamente - depende do tipo de análise. O DAST do Aikido (também chamado de Monitorização de Superfície) não simula cargas maliciosas no seu frontend, mas testa ativamente as suas APIs. Para a análise de API, envia cargas maliciosas controladas para encontrar pontos fracos. Interage com a sua aplicação através de HTTP e APIs, injectando entradas de teste e observando como a sua aplicação responde (comportando-se como um atacante automatizado). O AI Pentesting vai mais longe, executando ataques simulados mais avançados. Esta abordagem dinâmica significa que está a sondar a sua aplicação em tempo real, tal como faria um atacante externo, em vez de se limitar a analisar o código.

É seguro executar o DAST do Aikido num sítio ativo? A minha aplicação irá falhar ou ficar mais lenta?

É seguro - O DAST do Aikido foi concebido para não causar stress ou avarias no seu site de produção. O scanner evita testes destrutivos; por exemplo, não executa injeção de SQL de força bruta que possa bloquear a sua base de dados. Concentra-se em vulnerabilidades comuns da Web de uma forma suave, para que obtenha cobertura de segurança sem arrastar ou desestabilizar a sua aplicação durante uma análise.

Posso integrar o DAST do Aikido no meu pipeline de CI/CD ou, em vez disso, deve ser executado num ambiente de teste?

Para a maioria das equipas, recomendamos a execução do scanner DAST da Aikido em pontos finais de teste ou produção, em vez de dentro do seu pipeline CI/CD. O nosso DAST atual foi concebido para analisar aplicações em tempo real e com acesso à Internet, pelo que não há grandes vantagens em executá-lo em CI. A verificação local da DAST (que pode ser executada na CI) está planeada para ser lançada no quarto trimestre e provavelmente estará disponível primeiro para planos empresariais. Até lá, obterá os resultados mais precisos se apontar o scanner para um ambiente que espelhe a produção o mais próximo possível.

Que tipos de vulnerabilidades podem ser detectadas pelo DAST da Aikido (por exemplo, scripts entre sítios, injeção de SQL)?

O DAST da Aikido concentra-se em problemas que pode detetar de forma fiável nos seus pontos de extremidade em tempo real e virados para a Internet. Isto inclui muitas das 10 principais vulnerabilidades OWASP para APIs, como injeção de SQL, problemas de autenticação e controlo de acesso, configurações inseguras e exposição de pontos finais sensíveis. Pode ver a lista completa e actualizada de verificações aqui: Verificações DAST da Aikido Security. As verificações específicas de front-end estão excluídas, pelo que as conclusões são direcionadas para a segurança do lado do servidor e da API e não para as vulnerabilidades do lado do cliente.

Quanto tempo demoram os exames DAST da Aikido? Vou ter de esperar horas pelos resultados ou são rápidos?

Os exames DAST da Aikido são rápidos - a maioria é concluída em cerca de dois minutos, e raramente mais de quatro. Começará a ver os resultados quase imediatamente após o início da análise, pelo que não ficará à espera. O tempo exato depende do tamanho e da complexidade da sua aplicação, mas o scanner foi concebido para um feedback rápido, para que os programadores possam agir rapidamente.

O DAST do Aikido também verifica os pontos finais da API ou isso é feito por um verificador separado?

Sim - o DAST do Aikido pode analisar as suas APIs, mas não descobre automaticamente os pontos finais do seu frontend. Para a análise de API, pode importar uma especificação OpenAPI (gerada a partir do código ou manualmente) ou utilizar o Zen para a deteção de pontos finais. Uma vez configurado, o verificador testará os pontos de extremidade da API (incluindo REST e GraphQL) quanto a vulnerabilidades. Isto significa que não precisa de um scanner de API completamente separado - basta certificar-se de que os seus pontos finais estão definidos para que o Aikido os possa detetar eficazmente.

Qual é a diferença entre o DAST do Aikido e a utilização de uma ferramenta como o OWASP ZAP ou o StackHawk?

O DAST da Aikido utiliza um subconjunto de análises seguras do OWASP ZAP e, em seguida, adiciona a sua própria eliminação de ruído e duplicação para que apenas veja resultados relevantes. Obtém uma deteção de nível ZAP sem o ruído, a configuração manual ou a gestão de configurações - foi concebida para ser rápida, de baixa manutenção e fácil de utilizar.

Preciso de fornecer credenciais para o DAST do Aikido para testar páginas atrás de um início de sessão?

Apenas se pretender efetuar verificações autenticadas. O Aikido não suporta scripts de início de sessão, mas pode fornecer credenciais de autenticação para que possamos executar testes adicionais - por exemplo, verificar os tokens entregues quanto a pontos fracos comuns. Para a verificação de front-end, a principal vantagem é ativar estas verificações adicionais. Pode ativar as regras "autenticadas" nas suas definições aqui: Verificações DAST do Aikido. Se não fornecer credenciais, o scanner apenas verificará os seus pontos de extremidade voltados para o público.

O DAST da Aikido substitui um teste de penetração manual ou devo continuar a efetuar testes de penetração?

Não - o scanner de front-end DAST do Aikido concentra-se em detetar configurações incorrectas mais fáceis de detetar que podem abrir a sua aplicação Web, ajudando-o a corrigir rapidamente riscos comuns. Para uma cobertura mais profunda - como falhas complexas de lógica comercial ou simulações de ataque mais avançadas - ferramentas como AI Pentesting e API Security scanning são mais adequadas. As análises automatizadas tratam dos problemas quotidianos, enquanto os testes manuais ou avançados ocasionais garantem a deteção das vulnerabilidades mais difíceis de detetar. Em breve, o Aikido irá também expandir a cobertura nestas áreas, trazendo mais testes aprofundados diretamente para a plataforma.

Obter segurança gratuitamente

Proteja seu código, nuvem e tempo de execução em um sistema central.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Não é necessário cartão de crédito |Avaliação dos resultados em 32 segundos.