Penetracni testovani API

Jsme o světelné roky dál než automatické skenery

Když testujeme rozhraní API (ať už jde o REST, GraphQL nebo SOAP), neděláme to tak, že na něj prostě pustíme automatický skener a předáme vám vygenerovaný report. Takové testy totiž naprosto ignorují to nejdůležitější – aplikační a byznys logiku. Naše testy jsou od začátku do konce manuální a zaměřují se na to, jak vaše API skutečně funguje a jak nakládá s uživatelskými daty.

Co přesně budeme dělat?

Jdeme do absolutní hloubky. Hledáme chyby typu BOLA/IDOR (kdy se uživatel A dostane k datům uživatele B pouhou drobnou změnou ID v požadavku), testujeme odolnost proti Mass Assignment útokům (podvrhnutí parametrů pro získání administrátorských práv), prověřujeme složité autorizační modely a detailně pitváme způsob, jakým tvoříte a ověřujete JWT tokeny. Velkou pozornost věnujeme také Rate Limitingu – zkoušíme, jestli nám vaše API dovolí provést brute-force útok na přihlašování, nebo jestli dokážeme neomezeným dotazováním vyčerpat zdroje serveru.

Výstup pro vývojáře, ne pro právníky

Na konci od nás nedostanete padesát stran nezajímavého balastu s tisíci 'low-risk' nálezy, ale konkrétní důkazy (Proof of Concept). Dáme vašim vývojářům přesné HTTP požadavky nebo cURL commandy, které si mohou zkusit u sebe na lokále a chybu si sami potvrdit. A co je hlavní, u každého problému jasně napíšeme, proč v kódu vznikl a jaký je ten nejbezpečnější architektonický způsob, jak ho trvale opravit.