Pentest API

Pentest API e seus objetivos

O Pentest em API é, como o nome sugere, um teste de invasão que se concentra exclusivamente na API de uma aplicação Web ou aplicativo mobile. O conceito e os objetivos subjacentes para descobrir possíveis vulnerabilidades na segurança e fortalecer os mecanismos de defesa são os mesmos.

Endpoints API

Os endpoints da API podem fornecer um canal para os invasores minarem a segurança do seu aplicativo mobile ou aplicação Web e acessar os dados sensíveis.

A Infosec Security junto com a Desec Security utiliza o guia de testes da OWASP como metodologia de avaliação, juntamente com táticas, técnicas e procedimentos do mundo real para garantir a qualidade dos testes realizados durante o teste de invasão em API.

A Infosec Security utiliza ferramentas licenciadas para a realização de alguns testes, o que possibilita uma cobertura ampla do teste de invasão na API que está sendo testada.

A metodologia de teste de invasão em API da Infosec Security é baseada nos seguintes padrões da indústria:

  • Open Web Application Security Project (OWASP) Testing Guide
  • OWASP API Top 10 2019 – The Ten Most Critical API Security Risks
  • Technical Guide to Information Security Testing and Assessment (NIST 800-115)
  • The Penetration Testing Execution Standard (PTES)
  • Payment Card Industry (PCI) Penetration Testing Guidance

O Pentest na API realizado pela Infosec Security garante uma cobertura completa do OWASP API Top 10

  • API1:2019 Broken Object Level Authorization
  • API2:2019 Broken User Authentication
  • API3:2019 Excessive Data Exposure
  • API4:2019 Lack of Resources & Rate Limiting
  • API5:2019 Broken Function Level Authorization
  • API6:2019 Mass Assignment
  • API7:2019 Security Misconfiguration
  • API8:2019 Injection
  • API9:2019 Improper Assets Management
  • API10:2019 Insufficient Logging & Monitoring

Amostra de ferramentas usadas no pentest

Embora nossa metodologia para o pentest não possa listar todas as ferramentas que podemos usar, o seguinte é um exemplo de conjunto de ferramentas que pode ser usado durante uma avaliação:

· Burp Suite Pro · Recon-ng · Nmap
· Sqlmap · Metasploit Framework · Custom Scripts
· Curl · Swagger UI · WSDLer
Proteção contínua de endpoint API

As APIs estão sendo produzidas mais rapidamente do que as equipes de segurança podem revisar, influenciar e aprovar antes de serem colocadas em produção. A API Security da Infosec Security permite que sua equipe fiquem à frente do DevOps por meio de testes contínuos que permitem criar uma camada adicional de segurança para sua API.

Isso garante a cobertura completa da API OWASP e promove visibilidade para todos os eventos de segurança por endpoint da API.

Pentest Black Box

Pentest realizado com abordagem automatizada e manual, onde os resultados são validados para reduzir a presença de falso positivo.

Pentest White Box na API

Pentest realizado com abordagem manual e abordagem automatizada do código-fonte da API, para determinar a origem dos problemas que podem resultar em exploração.

Pentest Gray Box em API

Pentest realizado utilizando abordagem automatizada e abordagem manual de forma autenticado para obter acesso ao funcionamento interno da API e com isso, encontrar vulnerabilidades que somente um usuário autenticado teria acesso.

Pentest Híbrido em API (White / Gray)

Resultados do Pentest White Box sendo alimentados em um Pentest Gray Box para reduzir o tempo de mapeamento da API e fornecer uma lista de problemas a serem priorizados.

O que o Pentest na API não é

Rodar o Nessus ou Qualys contra uma API não é pentest. O pentest vai muito mais além do que um simples escanner de vulnerabilidade.

A workstation da Infosec Security permite que nossos profissionais realizem pentest na API da aplicação independente se a API foi desenvolvido internamente ou tercerizado.

Verified by MonsterInsights