Penetrační testování API
Komplexní testování REST, GraphQL, SOAP a dalších API podle OWASP API Security Top 10 a industry best practices.
REST API
Testování RESTful služeb - authentication, authorization, input validation, rate limiting.
GraphQL
Specifické GraphQL zranitelnosti - introspection, nested queries, batching attacks.
SOAP/gRPC
Testování SOAP webových služeb a gRPC communication security.
OWASP API Security Top 10
Nejčastější zranitelnosti API
API1:2023 – Broken Object Level Authorization
Nedostatečná kontrola přístupu k objektům - útočník může manipulovat s ID objektů a přistupovat k cizím datům.
IDOR v API endpoints, chybějící ownership validation
API2:2023 – Broken Authentication
Slabé autentizační mechanismy, nesprávná implementace JWT, chybějící token expiration.
JWT bez signature verification, credential stuffing
API3:2023 – Broken Object Property Level Authorization
Excessive data exposure nebo mass assignment - API vrací nebo přijímá více dat než by mělo.
Mass assignment vulnerabilities, sensitive data leakage
API4:2023 – Unrestricted Resource Consumption
Absence rate limiting a resource restrictions - možnost DoS útoků nebo resource exhaustion.
No rate limiting, unlimited payload size, GraphQL depth attacks
API5:2023 – Broken Function Level Authorization
Nedostatečná kontrola oprávnění na úrovni funkcí - běžný uživatel může volat admin endpointy.
Privilege escalation, admin endpoints bez auth check
API6:2023 – Unrestricted Access to Sensitive Business Flows
Absence ochrany proti automatizovaným útokům na kritické business flow.
Scalping, inventory hoarding, automated abuse
API7:2023 – Server Side Request Forgery (SSRF)
API akceptuje URL jako input a nedostatečně validuje cíl požadavku.
Internal service enumeration, cloud metadata access
API8:2023 – Security Misconfiguration
Nesprávné security headers, verbose error messages, CORS misconfiguration.
Chybějící CORS policy, stack traces, debug mode enabled
API9:2023 – Improper Inventory Management
Nedokumentované endpointy, staré API verze, shadow APIs.
Deprecated endpoints, zombie APIs, missing documentation
API10:2023 – Unsafe Consumption of APIs
Nedostatečná validace dat z third-party APIs nebo integrations.
Blind trust in external APIs, no input sanitization
Specifické testy podle typu API
REST API Testing
- → HTTP method tampering
- → Parameter pollution
- → Content-Type validation
- → Accept header manipulation
- → API versioning issues
- → Pagination vulnerabilities
GraphQL Testing
- → Introspection abuse
- → Depth limit bypass
- → Query batching attacks
- → Field suggestions disclosure
- → Circular query DoS
- → Alias-based bypass
SOAP Testing
- → XML injection
- → XXE (XML External Entity)
- → WSDL enumeration
- → WS-Security bypass
- → SOAP action spoofing
gRPC/WebSocket
- → Protocol buffer manipulation
- → Metadata injection
- → Stream hijacking
- → WebSocket origin validation
- → Message tampering
Výstup testování
API Security Report
- → OWASP API Top 10 mapping
- → Endpoint inventory
- → Authentication/Authorization analysis
- → Risk-based prioritization
Technické detaily
- → Request/Response examples
- → Burp/Postman collections
- → Exploit PoCs
- → CVSS v3.1 scores
Remediační návod
- → Secure coding examples
- → Framework-specific fixes
- → Security middleware recommendations
- → Testing methodology
API Documentation Review
- → OpenAPI/Swagger analysis
- → Undocumented endpoints
- → Schema validation gaps
Proces
API Discovery
Sběr API dokumentace, endpoint enumeration, schema analysis, version identification.
Authentication Testing
JWT analysis, OAuth flows, API key security, token lifecycle testing.
Authorization Testing
BOLA/BFLA testing, horizontal/vertical privilege escalation, IDOR analysis.
Business Logic Testing
Rate limiting, resource consumption, workflow bypass, business constraints validation.
Input Validation
Injection testing (SQL, NoSQL, command), XXE, SSRF, deserialization vulnerabilities.
Reporting
Kompilace reportu s OWASP API Top 10 mapping, PoCs a remediačními doporučeními.