Pentest API e seus objetivos
O Pentest em API é, como o nome sugere, um teste de invasão que se concentra exclusivamente na API de uma aplicação Web ou aplicativo mobile. O conceito e os objetivos subjacentes para descobrir possíveis vulnerabilidades na segurança e fortalecer os mecanismos de defesa são os mesmos.
Endpoints API
Os endpoints da API podem fornecer um canal para os invasores minarem a segurança do seu aplicativo mobile ou aplicação Web e acessar os dados sensíveis.
A Infosec Security junto com a Desec Security utiliza o guia de testes da OWASP como metodologia de avaliação, juntamente com táticas, técnicas e procedimentos do mundo real para garantir a qualidade dos testes realizados durante o teste de invasão em API.
A Infosec Security utiliza ferramentas licenciadas para a realização de alguns testes, o que possibilita uma cobertura ampla do teste de invasão na API que está sendo testada.
A metodologia de teste de invasão em API da Infosec Security é baseada nos seguintes padrões da indústria:
- Open Web Application Security Project (OWASP) Testing Guide
- OWASP API Top 10 2019 – The Ten Most Critical API Security Risks
- Technical Guide to Information Security Testing and Assessment (NIST 800-115)
- The Penetration Testing Execution Standard (PTES)
- Payment Card Industry (PCI) Penetration Testing Guidance
O Pentest na API realizado pela Infosec Security garante uma cobertura completa do OWASP API Top 10
- API1:2019 Broken Object Level Authorization
- API2:2019 Broken User Authentication
- API3:2019 Excessive Data Exposure
- API4:2019 Lack of Resources & Rate Limiting
- API5:2019 Broken Function Level Authorization
- API6:2019 Mass Assignment
- API7:2019 Security Misconfiguration
- API8:2019 Injection
- API9:2019 Improper Assets Management
- API10:2019 Insufficient Logging & Monitoring
Amostra de ferramentas usadas no pentest
Embora nossa metodologia para o pentest não possa listar todas as ferramentas que podemos usar, o seguinte é um exemplo de conjunto de ferramentas que pode ser usado durante uma avaliação:
· Burp Suite Pro | · Recon-ng | · Nmap |
· Sqlmap | · Metasploit Framework | · Custom Scripts |
· Curl | · Swagger UI | · WSDLer |
Proteção contínua de endpoint API
As APIs estão sendo produzidas mais rapidamente do que as equipes de segurança podem revisar, influenciar e aprovar antes de serem colocadas em produção. A API Security da Infosec Security permite que sua equipe fiquem à frente do DevOps por meio de testes contínuos que permitem criar uma camada adicional de segurança para sua API.
Isso garante a cobertura completa da API OWASP e promove visibilidade para todos os eventos de segurança por endpoint da API.
Pentest Black Box
Pentest realizado com abordagem automatizada e manual, onde os resultados são validados para reduzir a presença de falso positivo.
Pentest White Box na API
Pentest realizado com abordagem manual e abordagem automatizada do código-fonte da API, para determinar a origem dos problemas que podem resultar em exploração.
Pentest Gray Box em API
Pentest realizado utilizando abordagem automatizada e abordagem manual de forma autenticado para obter acesso ao funcionamento interno da API e com isso, encontrar vulnerabilidades que somente um usuário autenticado teria acesso.
Pentest Híbrido em API (White / Gray)
Resultados do Pentest White Box sendo alimentados em um Pentest Gray Box para reduzir o tempo de mapeamento da API e fornecer uma lista de problemas a serem priorizados.
O que o Pentest na API não é
Rodar o Nessus ou Qualys contra uma API não é pentest. O pentest vai muito mais além do que um simples escanner de vulnerabilidade.