We use cookies to enhance your experience. By continuing to visit this site you agree to our use of cookies.

Penetrační testování API

Pomocí penetračního testu nasimulujeme útok na vaše API a odhalíme zranitelná místa. Výstupem testu je srozumitelný report a prezentace shrnující bezpečnostní nedostatky vašeho API a návrh opatření na jejich odstranění.

V Auxilium Cyber Security máme zkušenosti s penetračním testováním různorodých API od REST přes SOAP až po GraphQL API.

Cíle

Hlavním cílem penetračního testu je odhalit bezpečnostní slabiny vašeho API a navrhnout adekvátní opatření k jejich odstranění.

Methodology of API penetration tests

Při penetračních testech API následujeme průmyslový standard OWASP API Security Top 10 díky kterému otestujeme API aplikaci na všechny běžné zranitelnosti, konkrétně:

  1. API1:2019 Broken Object Level Authorization
  2. API2:2019 Broken User Authentication
  3. API3:2019 Excessive Data Exposure
  4. API4:2019 Lack of Resources & Rate Limiting
  5. API5:2019 Broken Function Level Authorization
  6. API6:2019 Mass Assignment
  7. API7:2019 Security Misconfiguration
  8. API8:2019 Injection
  9. API9:2019 Improper Assets Management
  10. API10:2019 Insufficient Logging & Monitoring
Při testování API využíváme revizi standardu z roku 2019. Více informací je k dispozici zde: https://owasp.org/www-project-api-security/

Náš přístup k penetračnímu testování API

1. Stanovení základního rámce penetračního testu

První fáze slouží k pochopení potřeb klienta a k detailnímu seznámení se s API, především pak s funkcionalitou, počtem endpointů a architekturou. Výstupem je detailní pochopení potřeb klienta a stanovení základního rámce penetračního testu.

2. Vypracování detailní nabídky a její schválení

Na základě pochopení vašich potřeb a požadavků je vypracována detailní nabídka. V rámci nabídky jsou popsány metodiky testování, testovací scénáře, způsob reportování výsledků, a především pak rozsah penetračního testu. Dále je zde navrhnut časový rámec potřebný k úspěšnému vykonání penetračního testu. Výstupem této fáze je odsouhlasení finální nabídky.

3. Penetrační testování

Samotné penetrační testování pak probíhá dle stanovených a odsouhlasených požadavků. Během něj naši certifikovaní penetrační testeři odhalí jednotlivé zranitelnosti a předvedou vám, jak tyto zranitelnosti mohou být zneužity případným útočníkem.

4. Reporting

Vašemu týmu doručíme detailní technickou zprávu, která obsahuje ukázky jednotlivých zranitelností, a návrhů na jejich odstranění. V případě potřeby také ochotně dodáme finální zprávu ve formě prezentace, či manažerského shrnutí daného penetračního testu, které bude srozumitelně komunikovat nálezy a rizika s nimi spojené vedení vaší společnosti.

5. Podpora při odstranění zranitelností

Pokud má vaše organizace omezené vývojové kapacity, můžeme poskytnout součinnost a podporu s odstraňováním odhalených zranitelností.

6. Možnost proškolení vývojového týmu

V Auxilium Cyber Security jsme také schopni na základě výsledků penetračních testů vytvořit pokyny pro bezpečné kódování (secure coding guidelines) a připravit vašemu týmu školení na téma bezpečného vývoje.

Proč si vybrat právě nás?

  1. Náš tým se skládá ze zkušených penetračních testerů s certifikáty OSCP, OSCE nebo CISM.
  2. Vlastní výzkum v oblasti kybernetické bezpečnosti.
  3. Dodáme srozumitelný a detailní technický report včetně návrhů na odstranění zranitelností.
  4. Spolupráce může probíhat v češtině, angličtině nebo němčině.
  5. S penetračním testováním podnikové infrastruktury máme zkušenosti od roku 2015.
  6. V případě potřeby vytvoříme na základě výsledků penetračních testů pokyny pro bezpečné kódování nebo proškolíme vývojový tým.

Telefon

Germany: +49 (0) 7243 - 718 77 55
Czech Republic: +420 739 467 470

LinkedIn

www.linkedin.com

Adresse

Siemensstraße 23
76275 Ettlingen
Germany
Přístavní 1363/1
17000 Prague
Czech Republic