Elementrica
03Realizacje04Referencje05Firma06Aktualności07Kontakt
PLENDE

TESTOWANIE API

Testy penetracyjne API: sprawdź, czy Twoje API nie oddaje za dużo

Testy REST, GraphQL i gRPC według OWASP API Security Top 10, prowadzone przez pentesterów z OSCP. Kontrola dostępu na poziomie obiektów i funkcji, autoryzacja i nadmiarowe ujawnianie danych.

REST, GraphQL i gRPCTesty według OWASP API Security Top 10Kontrola dostępu i autoryzacja, nie tylko schemaRaport z dowodami i retest po naprawie

DLACZEGO TO WAŻNE

API nie ma interfejsu, więc błędy autoryzacji łatwo przeoczyć

Aplikacje mobilne i web rozmawiają z backendem przez API, a coraz częściej API jest produktem samym w sobie. Bez warstwy interfejsu łatwo założyć, że klient zawsze zachowa się poprawnie. Atakujący tego założenia nie przyjmuje.

Przykład z naszej praktyki: zmiana identyfikatora obiektu w żądaniu zwracała dane innego najemcy (BOLA). Endpoint działał zgodnie ze specyfikacją, brakowało tylko sprawdzenia, czy obiekt należy do wywołującego. Dla aplikacji wielodostępnej to bezpośredni wyciek między klientami.

CO SPRAWDZAMY

Pełna lista OWASP API Security Top 10

01
Kontrola dostępu do obiektów
BOLA i IDOR: dostęp do danych innych użytkowników przez podmianę identyfikatora.
02
Kontrola dostępu do funkcji
BFLA: wywołanie funkcji administracyjnych z konta zwykłego użytkownika.
03
Uwierzytelnianie
Słabe tokeny, błędna walidacja JWT, przejęcie i odtwarzanie sesji.
04
Nadmiarowe ujawnianie danych
Zwracanie więcej pól niż trzeba i mass assignment przy zapisie.
05
Limity i zasoby
Brak rate limitingu, podatność na nadużycie i wyczerpanie zasobów.
06
GraphQL i iniekcje
Introspekcja, głębokość zapytań oraz iniekcje SQL, NoSQL i SSRF.

Testujemy REST, GraphQL i gRPC. Zakres dobieramy do architektury i modelu uprawnień.

NASZE PODEJŚCIE

Testujemy autoryzację z perspektywy każdej roli i każdego najemcy

Większość krytycznych luk w API to błędy autoryzacji, których nie widać w dokumentacji. Logujemy się jako różni użytkownicy i najemcy i sprawdzamy, czy granice między nimi naprawdę działają, na każdym endpoincie.

Pracujemy w modelu grey-box, z dokumentacją i kontami testowymi, więc pokrywamy realny model uprawnień, nie tylko publiczne endpointy. Każdą podatność potwierdzamy działającym żądaniem i odpowiedzią serwera.

ZGODNOŚĆ

Test wymagany tam, gdzie API przetwarza dane

Bezpieczeństwo API to element zarządzania ryzykiem i warunek integracji z partnerami w branżach regulowanych.

DORA / NIS2
Testowanie interfejsów jako element zarządzania ryzykiem ICT.
ISO 27001
Dowód skuteczności zabezpieczeń (A.8) dla usług przetwarzających dane.
PCI DSS
Wymagany test interfejsów przetwarzających dane kart płatniczych.

STANDARDY I CERTYFIKATY

Pracujemy według uznanych metodyk, nie według intuicji

Każdy projekt prowadzą certyfikowani pentesterzy, a testy opieramy na publicznych standardach, więc wynik jest powtarzalny, audytowalny i porównywalny między dostawcami.

Certyfikaty zespołu
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Metodyki
OWASP WSTGPTESNIST SP 800-115
Standardy weryfikacji
OWASP ASVS 5.0.0
Listy Top 10
OWASP API Security Top 10OWASP Top 10:2025

Pełną listę certyfikatów i standardów udostępniamy na życzenie, razem z przykładowym zakresem testu.

JAK TO ROBIMY

Powtarzalny proces według PTES

01
Uzgodnienie zakresu
Ustalamy cel, zakres i zasady testu. Wiesz, co i kiedy testujemy, zanim zaczniemy.
02
Rozpoznanie
Mapujemy powierzchnię ataku: aktywa, technologie i punkty wejścia.
03
Modelowanie zagrożeń
Ustalamy, co realnie chce osiągnąć atakujący, i priorytetyzujemy najgroźniejsze scenariusze.
04
Analiza podatności
Szukamy słabych punktów manualnie i weryfikujemy każdy, żeby odsiać fałszywe alarmy.
05
Eksploitacja
Potwierdzamy podatności działającym dowodem, nie teorią z listy alertów.
06
Post-eksploitacja
Sprawdzamy realny zasięg: eskalacja uprawnień, ruch boczny i dostęp do danych.
07
Raport i retest
Dostajesz raport z priorytetami naprawczymi, a po wdrożeniu potwierdzamy usunięcie luk.

DOWODY

Twarde liczby z naszych projektów

Każdy test prowadzą certyfikowani pentesterzy, a wynik dokumentujemy krokami odtworzenia, dowodami i zweryfikowaną ścieżką naprawy. Dowód, nie obietnica.

500+
zrealizowanych testów i audytów bezpieczeństwa
5.0
średnia ocena z 10 zweryfikowanych opinii w Clutch
20+
certyfikatów ofensywnych w zespole
01
Certyfikowany zespół
20+ certyfikatów ofensywnych w zespole (OSCP, OSEP, OSWE, CREST). Testy prowadzą nasi ludzie, nie anonimowi podwykonawcy.
02
Testy manualne
Pracujemy manualnie według PTES i OWASP. Łączymy pozornie drobne błędy w realną, potwierdzoną ścieżkę ataku.
03
Dowód, nie obietnica
Każda podatność z krokami odtworzenia i działającym dowodem. Raport, który obroni się przed audytorem.
04
Retest w cenie
Po wdrożeniu poprawek potwierdzamy usunięcie luk na piśmie. Nie znikamy po wysłaniu PDF-a.

WIEDZA

Testy penetracyjne API w praktyce

Dlaczego API testuje się inaczej niż aplikację web

API nie ma interfejsu użytkownika, więc błędy autoryzacji łatwo przeoczyć, a jednocześnie to przez API przepływają najbardziej wrażliwe dane. Testujemy REST, GraphQL i gRPC według OWASP API Security Top 10, gdzie na czele ryzyk stoi broken object level authorization, czyli możliwość sięgnięcia po cudze obiekty przez podmianę identyfikatora.

W odróżnieniu od aplikacji web nie ograniczają nas ekrany i przyciski. Pracujemy bezpośrednio na endpointach, sprawdzając każdy z nich pod kątem uprawnień, walidacji danych i ujawniania nadmiarowych informacji. Skaner widzi tu niewiele, bo nie zna kontekstu, czyli kto i do czego powinien mieć dostęp.

Autoryzacja na poziomie obiektu i funkcji

Dwie najczęstsze i najgroźniejsze klasy błędów w API to autoryzacja na poziomie obiektu i na poziomie funkcji. Pierwsza pozwala odczytać lub zmienić zasób należący do innego użytkownika, druga wywołać operację zarezerwowaną dla wyższej roli. Oba błędy są niewidoczne z zewnątrz i wymagają testu z perspektywy różnych kont.

Dlatego ustalamy z Tobą role i konta testowe, a następnie systematycznie sprawdzamy każdą granicę uprawnień. Potwierdzamy nie tylko, że dany endpoint istnieje, ale że poprawnie odrzuca żądanie, do którego konto nie ma prawa.

Dlaczego dokumentacja API przyspiesza test

Specyfikacja OpenAPI albo gotowa kolekcja zapytań znacząco zwiększa pokrycie w tym samym czasie, bo nie musimy zgadywać, jakie endpointy i parametry istnieją. Im pełniejszy obraz powierzchni API, tym więcej realnych ścieżek ataku możemy zweryfikować zamiast szukać ich po omacku.

Jeśli dokumentacji nie ma, też przeprowadzimy test, mapując API na podstawie ruchu z aplikacji i analizy zachowania. Warto jednak wiedzieć, że dobra dokumentacja to nie tylko ułatwienie dla nas, ale wprost większa wartość testu dla Ciebie.

Co dostajesz w raporcie

Raport opisuje każdą podatność z dowodem, oceną CVSS i konkretnym żądaniem odtwarzającym problem, żeby zespół deweloperski mógł go natychmiast zweryfikować. Dokładamy podsumowanie dla osób decyzyjnych z realnym wpływem na biznes oraz priorytety naprawcze ułożone według ryzyka.

Po naprawie wykonujemy retest i potwierdzamy zamknięcie luk. To istotne zwłaszcza dla API, które często stoi między aplikacją mobilną a backendem, bo pojedynczy błąd autoryzacji może odsłonić dane wszystkich użytkowników naraz.

Kiedy testować API

API testujemy przed udostępnieniem go partnerom lub aplikacji klienckiej oraz po każdej zmianie kontraktu: nowych endpointach, zmianie modelu uprawnień czy migracji na nową wersję. Każda taka zmiana może otworzyć dostęp, którego wcześniej nie było.

Dla API wystawionego publicznie lub obsługującego dane osobowe i płatności rekomendujemy regularny cykl testów. Coraz częściej jest to także element wymagań regulacyjnych oraz warunek współpracy z większymi integratorami.

FAQ

Pytania, które słyszymy najczęściej

Potrzebujecie dokumentacji API?

Specyfikacja OpenAPI lub kolekcja zapytań bardzo pomaga i pozwala pokryć więcej w tym samym czasie. Bez niej również testujemy, mapując API samodzielnie.

Testujecie REST i GraphQL?

Tak, a także gRPC. Każda technologia ma własne pułapki, które uwzględniamy w zakresie.

Czym to różni się od skanu?

Skan sprawdzi część typowych błędów. Luki autoryzacji, czyli najczęstsze i najgroźniejsze w API, wykrywa dopiero człowiek testujący z perspektywy różnych ról.

Czy retest jest w cenie?

Tak. Po wdrożeniu poprawek sprawdzamy ponownie wskazane luki i potwierdzamy ich usunięcie.

POWIĄZANE

Powiązane artykuły

REALIZACJE

Realizacje w tym obszarze

REFERENCJE

“Projekt zrealizowano profesjonalnie i terminowo, z dobrym zrozumieniem zarówno technologii, jak i biznesu. Zrobiła na nas wrażenie ich ekspertyza w cyberbezpieczeństwie i partnerskie podejście.”

PIERWSZY KROK

Zacznij od bezpłatnej konsultacji

Opisz, co chcesz sprawdzić. W ciągu 24 h dostaniesz propozycję zakresu i kolejnych kroków. Rozmawiasz z konsultantem, który rozumie techniczną stronę.

Skontaktuj się z nami
Bez zobowiązań · odpowiadamy w 24 h · Twoje dane pozostają poufne
Metodyka
PTES · OWASP
Zespół
20+ certyfikatów
Ocena
5.0 w Clutch
Co dostajesz
Propozycja zakresu dopasowana do Twojego ryzyka
Raport z dowodami i krokami odtworzenia
Priorytety naprawcze według realnego wpływu
Retest po wdrożeniu poprawek
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Konsultację prowadzi osoba z naszego zespołu, zwykle w ciągu 24 h. Bez botów i call center.