TESTOWANIE API
Testy penetracyjne API: sprawdź, czy Twoje API nie oddaje za dużo
Testy REST, GraphQL i gRPC według OWASP API Security Top 10, prowadzone przez pentesterów z OSCP. Kontrola dostępu na poziomie obiektów i funkcji, autoryzacja i nadmiarowe ujawnianie danych.
DLACZEGO TO WAŻNE
API nie ma interfejsu, więc błędy autoryzacji łatwo przeoczyć
Aplikacje mobilne i web rozmawiają z backendem przez API, a coraz częściej API jest produktem samym w sobie. Bez warstwy interfejsu łatwo założyć, że klient zawsze zachowa się poprawnie. Atakujący tego założenia nie przyjmuje.
Przykład z naszej praktyki: zmiana identyfikatora obiektu w żądaniu zwracała dane innego najemcy (BOLA). Endpoint działał zgodnie ze specyfikacją, brakowało tylko sprawdzenia, czy obiekt należy do wywołującego. Dla aplikacji wielodostępnej to bezpośredni wyciek między klientami.
CO SPRAWDZAMY
Pełna lista OWASP API Security Top 10
Testujemy REST, GraphQL i gRPC. Zakres dobieramy do architektury i modelu uprawnień.
NASZE PODEJŚCIE
Testujemy autoryzację z perspektywy każdej roli i każdego najemcy
Większość krytycznych luk w API to błędy autoryzacji, których nie widać w dokumentacji. Logujemy się jako różni użytkownicy i najemcy i sprawdzamy, czy granice między nimi naprawdę działają, na każdym endpoincie.
Pracujemy w modelu grey-box, z dokumentacją i kontami testowymi, więc pokrywamy realny model uprawnień, nie tylko publiczne endpointy. Każdą podatność potwierdzamy działającym żądaniem i odpowiedzią serwera.
ZGODNOŚĆ
Test wymagany tam, gdzie API przetwarza dane
Bezpieczeństwo API to element zarządzania ryzykiem i warunek integracji z partnerami w branżach regulowanych.
STANDARDY I CERTYFIKATY
Pracujemy według uznanych metodyk, nie według intuicji
Każdy projekt prowadzą certyfikowani pentesterzy, a testy opieramy na publicznych standardach, więc wynik jest powtarzalny, audytowalny i porównywalny między dostawcami.
Pełną listę certyfikatów i standardów udostępniamy na życzenie, razem z przykładowym zakresem testu.
JAK TO ROBIMY
Powtarzalny proces według PTES
DOWODY
Twarde liczby z naszych projektów
Każdy test prowadzą certyfikowani pentesterzy, a wynik dokumentujemy krokami odtworzenia, dowodami i zweryfikowaną ścieżką naprawy. Dowód, nie obietnica.
WIEDZA
Testy penetracyjne API w praktyce
Dlaczego API testuje się inaczej niż aplikację web
API nie ma interfejsu użytkownika, więc błędy autoryzacji łatwo przeoczyć, a jednocześnie to przez API przepływają najbardziej wrażliwe dane. Testujemy REST, GraphQL i gRPC według OWASP API Security Top 10, gdzie na czele ryzyk stoi broken object level authorization, czyli możliwość sięgnięcia po cudze obiekty przez podmianę identyfikatora.
W odróżnieniu od aplikacji web nie ograniczają nas ekrany i przyciski. Pracujemy bezpośrednio na endpointach, sprawdzając każdy z nich pod kątem uprawnień, walidacji danych i ujawniania nadmiarowych informacji. Skaner widzi tu niewiele, bo nie zna kontekstu, czyli kto i do czego powinien mieć dostęp.
Autoryzacja na poziomie obiektu i funkcji
Dwie najczęstsze i najgroźniejsze klasy błędów w API to autoryzacja na poziomie obiektu i na poziomie funkcji. Pierwsza pozwala odczytać lub zmienić zasób należący do innego użytkownika, druga wywołać operację zarezerwowaną dla wyższej roli. Oba błędy są niewidoczne z zewnątrz i wymagają testu z perspektywy różnych kont.
Dlatego ustalamy z Tobą role i konta testowe, a następnie systematycznie sprawdzamy każdą granicę uprawnień. Potwierdzamy nie tylko, że dany endpoint istnieje, ale że poprawnie odrzuca żądanie, do którego konto nie ma prawa.
Dlaczego dokumentacja API przyspiesza test
Specyfikacja OpenAPI albo gotowa kolekcja zapytań znacząco zwiększa pokrycie w tym samym czasie, bo nie musimy zgadywać, jakie endpointy i parametry istnieją. Im pełniejszy obraz powierzchni API, tym więcej realnych ścieżek ataku możemy zweryfikować zamiast szukać ich po omacku.
Jeśli dokumentacji nie ma, też przeprowadzimy test, mapując API na podstawie ruchu z aplikacji i analizy zachowania. Warto jednak wiedzieć, że dobra dokumentacja to nie tylko ułatwienie dla nas, ale wprost większa wartość testu dla Ciebie.
Co dostajesz w raporcie
Raport opisuje każdą podatność z dowodem, oceną CVSS i konkretnym żądaniem odtwarzającym problem, żeby zespół deweloperski mógł go natychmiast zweryfikować. Dokładamy podsumowanie dla osób decyzyjnych z realnym wpływem na biznes oraz priorytety naprawcze ułożone według ryzyka.
Po naprawie wykonujemy retest i potwierdzamy zamknięcie luk. To istotne zwłaszcza dla API, które często stoi między aplikacją mobilną a backendem, bo pojedynczy błąd autoryzacji może odsłonić dane wszystkich użytkowników naraz.
Kiedy testować API
API testujemy przed udostępnieniem go partnerom lub aplikacji klienckiej oraz po każdej zmianie kontraktu: nowych endpointach, zmianie modelu uprawnień czy migracji na nową wersję. Każda taka zmiana może otworzyć dostęp, którego wcześniej nie było.
Dla API wystawionego publicznie lub obsługującego dane osobowe i płatności rekomendujemy regularny cykl testów. Coraz częściej jest to także element wymagań regulacyjnych oraz warunek współpracy z większymi integratorami.
FAQ
Pytania, które słyszymy najczęściej
Potrzebujecie dokumentacji API?
Testujecie REST i GraphQL?
Czym to różni się od skanu?
Czy retest jest w cenie?
POWIĄZANE
Powiązane artykuły
- Ile kosztuje test penetracyjny? Z czego składa się cena i na co uważać
- Testy penetracyjne a ocena podatności: kompleksowy przewodnik pozwalający zrozumieć różnice
- Zakres testu penetracyjnego: jedna strona, która decyduje, czy test był wart pieniędzy
- Zakres testu penetracyjnego
- Dlaczego wyniki CVSS często nie odzwierciedlają rzeczywistych zagrożeń
REALIZACJE
Realizacje w tym obszarze
REFERENCJE
“Projekt zrealizowano profesjonalnie i terminowo, z dobrym zrozumieniem zarówno technologii, jak i biznesu. Zrobiła na nas wrażenie ich ekspertyza w cyberbezpieczeństwie i partnerskie podejście.”
















