Test delle vulnerabilità API
Testate la sicurezza delle vostre API con simulazioni complete di vulnerabilità che identificano debolezze nell'autenticazione, nell'autorizzazione e nella protezione dei dati.
Funzionalità dei test di sicurezza API
Test di autenticazione
Testate i meccanismi di autenticazione:
- Verifica delle credenziali
- Sicurezza dei token
- Gestione delle sessioni
- Tentativi di bypass MFA
Test di autorizzazione
Validate i controlli di accesso:
- Accesso basato sui ruoli
- Permessi sulle risorse
- Escalation dei privilegi
- Accesso cross-tenant
Test di iniezione
Testate le vulnerabilità di iniezione:
- SQL injection
- NoSQL injection
- Command injection
- LDAP injection
Test di esposizione dei dati
Verificate la protezione dei dati:
- Esposizione di dati sensibili
- Restituzione eccessiva di dati
- Fughe di informazioni di debug
- Dettagli nei messaggi di errore
Categorie di vulnerabilità API
OWASP API Top 10
Testate le vulnerabilità API comuni:
- Broken Object Level Authorization
- Broken Authentication
- Broken Object Property Level Authorization
- Unrestricted Resource Consumption
- Broken Function Level Authorization
- Unrestricted Access to Sensitive Business Flows
- Server Side Request Forgery
- Security Misconfiguration
- Improper Inventory Management
- Unsafe Consumption of APIs
Test personalizzati
Definite test specifici per l'organizzazione:
- Difetti della logica di business
- Autenticazione personalizzata
- Protocolli proprietari
- API interne
Esecuzione dei test API
Configurazione dei test
- Navigate su Simulazione di attacchi → Vulnerabilità API
- Cliccate su Nuovo test
- Configurate:
- Endpoint API
- Autenticazione
- Categorie di test
- Limitazioni dell'ambito
- Verificate ed eseguite
Configurazione degli obiettivi
Definite cosa testare:
- URL base dell'API
- Endpoint da testare
- Credenziali di autenticazione
- Considerazioni sui limiti di frequenza
Selezione dei test
Scegliete i tipi di test:
- Scansione rapida (problemi comuni)
- Scansione completa (completa)
- Selezione personalizzata
- Focalizzata sulla conformità
Risultati dei test
Dashboard dei risultati
- Totale vulnerabilità
- Distribuzione per gravità
- Endpoint interessati
- Analisi delle tendenze
Dettagli delle vulnerabilità
Per ogni scoperta:
- Tipo di vulnerabilità
- Endpoint interessato
- Valutazione della gravità
- Proof of concept
- Guida alla correzione
Valutazione del rischio
- Impatto aziendale
- Sfruttabilità
- Dati a rischio
- Implicazioni di conformità
Scoperte comuni
Problemi di autenticazione
- Generazione debole dei token
- Autenticazione mancante
- Storage insicuro dei token
- Fissazione della sessione
Difetti di autorizzazione
- Escalation orizzontale dei privilegi
- Escalation verticale dei privilegi
- Controlli mancanti a livello di funzione
- Vulnerabilità IDOR
Esposizione dei dati
- Dati sensibili nelle risposte
- Fughe di PII
- Endpoint di debug esposti
- Messaggi di errore dettagliati
Validazione degli input
- Validazione degli input mancante
- Vulnerabilità di iniezione
- Confusione di tipo
- Problemi di buffer
Correzione
Guida alla correzione
Per ogni vulnerabilità:
- Spiegazione della causa
- Correzione raccomandata
- Esempi di codice
- Approccio di test
Prioritizzazione
Ordine di correzione raccomandato:
- Critiche per prime
- Alto rischio successive
- Per importanza dell'endpoint
- Per sfruttabilità
Verifica
Confermate le correzioni:
- Re-test degli endpoint specifici
- Test di regressione
- Test continui
Best practice
- Testate tutte le API — Interne ed esterne
- Testate regolarmente — Continuo o pianificato
- Testate prima della produzione — Prima della distribuzione
- Autenticatevi correttamente — Usate credenziali valide per la profondità
- Rispettate i limiti di frequenza — Rispettate i limiti delle API
- Correggete e verificate — Chiudete il ciclo sulle scoperte
Correlato: