Usluge/Penetracijsko testiranje

Penetracijsko testiranje Sigurnost aplikacija i clouda Detekcija i odgovor na incidente Upravljana detekcija i odgovor (MDR)Odgovor na incidente i DFIR Sigurnosni program i rizik Sigurnost AI sustava

UslugaREST · GraphQL · OWASP API Top 10

Penetracijsko testiranje API-ja

API-ji nose vaš najosjetljiviji promet i nevidljivi su većini testiranja. Testiramo ih kako to rade napadači.

Dogovorite razgovor Penetracijsko testiranje

§ 01Pregled

Najčešći propust API-ja, slaba kontrola pristupa na razini objekta, nikad se ne vidi u sučelju: promijenite identifikator i čitate tuđe podatke. Testiramo vaše API-je po OWASP API Security Top 10 na kontrolu pristupa, izlaganje podataka i zlouporabu, ručno.

§ 02Što testiramo

Površina koju pokrivamo

Pristup na razini objekta

Vraća li promjena identifikatora u zahtjevu podatke koje korisnik ne bi smio vidjeti.

Pristup na razini funkcije

Može li korisnik pozvati povlaštene radnje na koje nema pravo.

Prekomjerno izlaganje podataka

Vraća li API više podataka nego što klijent treba ili smije primiti.

Autentifikacija i tokeni

Upravljanje ključevima, tokenima i sesijama, uključujući rok i opseg.

Ograničenje prometa i zlouporaba

Je li API zaštićen od automatizirane i masovne zlouporabe.

§ 03Naš pristup

Jasna metodologija, svaki put.

Opseg i otkrivanje

Popisujemo krajnje točke, uključujući zaboravljene, i dogovaramo opseg pisano.

Testiraj ručno

Testiramo pristup na svakom objektu i funkciji te izlaganje i zlouporabu, po OWASP API Top 10.

Dokaži učinak

Potvrđeni nalazi demonstriraju se sigurno, s ponovljivim koracima.

Izvještaj i ponovni test

Izvještaj s ispravcima rangiranima po riziku te ponovni test ispravaka.

§ 04Što dobivate

Rezultati koje možete primijeniti.

Svaki angažman završava dokumentiranim nalazima i dokazima, napisanima za tehnički tim i za upravu.

01Popis krajnjih točaka i testirana površina

02Ponovljivi nalazi s dokazom koncepta

03Preporuke za ispravak rangirane po riziku

04Ponovni test ispravaka u roku od 90 dana

Detaljnije

Pročitajte detaljan vodič: penetracijsko testiranje api-ja

→

Neovisni i vendor-neutralni. Ne preprodajemo alate koje testiramo.

Naš jedini proizvod je stručnost i dokazi, pa naš savjet nema drugu agendu osim vaše.

Neovisni

Vendor-neutralni. Nemamo licence za prodaju ni sukob interesa.

Senior-vođeni

Svaki angažman vode senior inženjeri, ne predaje se redu.

Vođeni dokazima

Ponovljivi nalazi i dokumentirani dokazi, ne samo oznake ozbiljnosti.

Spremni za regulatora

Građeno da zadovolji NIS2, DORA-u, ISO 27001 i GDPR od početka.

Česta pitanja

Pitanja i odgovori

Zašto testirati API-je odvojeno od web aplikacije?

API-ji su namijenjeni strojevima i često izlažu više od sučelja. Najčešći propusti, slaba kontrola pristupa na razini objekta i funkcije, nevidljivi su u sučelju i traže zasebno, ručno testiranje.

Testirate li GraphQL i REST?

Da, oboje, zajedno s modelima autentifikacije i autorizacije iza njih.

Testirate li ispravke?

Da, ponovni test u roku od 90 dana je uključen.

Za dublje čitanje

Povezani tekstovi

01Ofenzivna sigurnost

Phishing i socijalni inženjering: kako prepoznati i spriječiti napad

Čitajte →14 min čitanja

02Ofenzivna sigurnost

Prijevara poslovne e-pošte (BEC): kako prepoznati i spriječiti

Čitajte →11 min čitanja