Ethredix Ethredix
Jazyk EN

Penetracni testovani struktur API

Dukladne manualni testovani REST, GraphQL, SOAP a gRPC rozhrani primarne zamerene na reverzi byznysove logiky a obchazeni autorizacnich modelu.

Limity automatizovaných API skenerů

Při testování rozhraní API (ať už provozujete REST, GraphQL, SOAP, nebo gRPC) generují plně automatizované skenery zcela neadekvátní falešně-negativní výsledky. Důvodem je jejich neschopnost porozumět jakýmkoliv byznysovým procesům, vícekrokovým transakcím a složitým autorizačním modelům. Naše metodika testování API je proto striktně manuální. Kriticky se zaměřujeme na to, jak vaše API skutečně interpretuje datové hranice, jak validuje vstupy a jak nakládá s uživatelskými stavy aplikací.

Oblasti zaměření a metodiky

OWASP API Security Top 10
REST / GraphQL / gRPC
Manual Logic Analysis
Postman / Burp Suite Pro

Co analyzujeme a simulujeme

Naše ofenzivní testování analyzuje datové toky do absolutní technické hloubky. Aktivně vyhledáváme zranitelnosti typu Broken Object Level Authorization (BOLA/IDOR) – kritický scénář, ve kterém uživatel A manipulační úpravou ID parametru poškodí data uživatele B. Testujeme odolnost platformy vůči útokům typu Mass Assignment (podvrhnutí parametrů pro okamžitou eskalaci privilegií), detailně pitváme způsob tvoření a ověřování podpisů pro JWT/OAuth tokeny v různých datových stavech. Stejně rigorózně hodnotíme implementaci Rate Limitingu – zkoušíme, zda nám backend umožní realizovat masivní brute-force slovníkové útoky na přihlašovací formuláře, případně otestujeme vektory pro vyčerpání aplikačních zdrojů (Application-level DoS).

Exaktní výstup pro inženýry webaře

Certifikovaným výstupem našeho auditu nejsou tisíce řádků vygenerovaného balastu bez kontextu. Vašim softwarovým inženýrům předáváme hutný technický report s konkrétními důkazy (Proof of Concept). Detailně dodáváme přesné cURL/Postman příkazy a surové HTTP požadavky, pomocí kterých lze jakýkoliv nález během sekund replikovat v jejich lokálním vývojovém prostředí. Jako expertní partneři rovněž přesně identifikujeme architektonickou primární příčinu zranitelnosti a dodáváme kódová řešení odpovídající prestižnímu oborovému standardu OWASP API Security Top 10.

Máte zájem?

Kontaktujte nás. Zanalyzujeme vaší architekturu a společně navrhneme rozsah testování nebo školení přesně na míru vašemu prostředí.

Poptat nezávazně

Služba zahrnuje

  • Management Summary
  • Technical Report (CVSS v3.1)
  • Postman/cURL Proof of Concepts
  • Remediation guidelines
  • Complimentary Retest