Pentest de APIs
Las APIs REST, GraphQL y SOAP concentran el acceso a datos y lógica crítica. Las evaluamos exhaustivamente: autorización, autenticación, exposición de datos, inyecciones, rate limiting y control de acceso a nivel de objeto y función.
- Cobertura REST, GraphQL y SOAP
- Testing BOLA/IDOR y BFLA
- Evaluación de autenticación JWT y OAuth
- Detección de exposición de datos sensibles
- Testing de rate limiting y DoS lógico
Metodología
Entregables
- Inventario completo de endpoints evaluados
- Reporte técnico con OWASP API Top 10
- Evidencia de hallazgos
- Recomendaciones de remediación
- Retest post-corrección
- ›Retest incluido en todos los proyectos
- ›Reporte ejecutivo + técnico siempre
- ›Equipo con experiencia en Ecuador y Colombia
- ›Proceso documentado y trazable con Crixo
Sobre pentest api
Lo que más nos consultan antes de iniciar este tipo de proyecto.
¿Necesitan documentación de la API (Swagger/OpenAPI)?+
Es útil pero no obligatorio. Podemos trabajar con o sin documentación. Sin documentación, el alcance de descubrimiento puede ser mayor.
¿Qué es BOLA y por qué es tan crítico?+
BOLA (Broken Object Level Authorization) es la vulnerabilidad #1 en APIs según OWASP. Permite a un usuario acceder a datos de otros usuarios manipulando IDs en las peticiones. Es frecuente y de alto impacto.
Otros servicios de la misma línea
Ethical Hacking
Evaluación integral de tu postura de seguridad mediante técnicas y metodologías ofensivas reales.
Ver servicioPentest Web
Identificamos vulnerabilidades en tus aplicaciones web antes de que lo hagan los atacantes.
Ver servicioPentest Móvil
Evaluación de seguridad completa para apps Android e iOS. Desde el cliente hasta el servidor.
Ver servicio¿Listo para iniciar tu proyecto
de pentest api?
Hablemos del alcance y te entregamos una propuesta en 48 horas. Sin rodeos.