Compléter l’analyse statique OpenAPI
Speculynx est d’abord une CLI d’analyse statique de spécifications OpenAPI 3.0 et 3.1. La commande speculynx scan lit localement un fichier JSON ou YAML pour relever des indices de risque dans sa conception et sa documentation. Le fichier OpenAPI n’est pas envoyé au backend.
Le plan Pro ajoute speculynx scan-live. Ce module DAST léger envoie de vraies requêtes vers une API explicitement ciblée et autorisée afin d’observer certains comportements. Il complète une analyse de spécification : il ne prétend pas épuiser les vulnérabilités possibles.
Des garde-fous explicites
Par défaut, scan-live n’envoie que des requêtes GET. Les méthodes POST, PUT, PATCH et DELETE exigent l’option explicite --allow-unsafe-methods. L’option --yes seule ne déverrouille pas ces méthodes. Le mode --dry-run affiche les requêtes prévues sans les envoyer, ce qui permet de vérifier la cible et le périmètre avant toute interaction réseau.
La vérification TLS reste activée par défaut. L’option --insecure est explicite et doit être réservée aux situations où son risque est compris. Utilisez le module uniquement contre des systèmes que vous possédez ou pour lesquels vous avez une autorisation claire.
Ce que signifie un finding
Un résultat de scan-live ou de l’analyse statique est un indicateur à examiner avec le contexte de l’API : contrôle d’accès côté serveur, passerelle, données de test et règles métier. Par exemple, un indicateur BOLA dans une spécification ou une réponse observée mérite une vérification d’autorisation ; il ne constitue pas à lui seul une preuve d’exploitation.
scan-live ne remplace pas OWASP ZAP, Burp Suite, Nuclei ou un pentest complet. Ces outils et une revue humaine restent complémentaires quand le périmètre, l’exposition ou le niveau de risque le justifient.
Commencer prudemment
speculynx scan --file openapi.yaml
speculynx scan-live --file openapi.yaml --target https://api.example.test --dry-runCommencez par l’analyse locale, puis vérifiez le plan dry-run avant d’exécuter des requêtes contrôlées. Pour installer la CLI, consultez les instructions pipx. La page d’accueil présente aussi la couverture OpenAPI et OWASP réellement affichée par le produit.