Penetrační testování API
Pomocí penetračního testu nasimulujeme útok na vaše API a odhalíme zranitelná místa. Výstupem testu je srozumitelný report a prezentace shrnující bezpečnostní nedostatky vašeho API a návrh opatření na jejich odstranění.
V Auxilium Cyber Security máme zkušenosti s penetračním testováním různorodých API od REST přes SOAP až po GraphQL API.
Cíle
Hlavním cílem penetračního testu je odhalit bezpečnostní slabiny vašeho API a navrhnout adekvátní opatření k jejich odstranění.
Methodology of API penetration tests
Při penetračních testech API následujeme průmyslový standard OWASP API Security Top 10 díky kterému otestujeme API aplikaci na všechny běžné zranitelnosti, konkrétně:
- API1:2019 Broken Object Level Authorization
- API2:2019 Broken User Authentication
- API3:2019 Excessive Data Exposure
- API4:2019 Lack of Resources & Rate Limiting
- API5:2019 Broken Function Level Authorization
- API6:2019 Mass Assignment
- API7:2019 Security Misconfiguration
- API8:2019 Injection
- API9:2019 Improper Assets Management
- API10:2019 Insufficient Logging & Monitoring
Náš přístup k penetračnímu testování API
1. Stanovení základního rámce penetračního testu
První fáze slouží k pochopení potřeb klienta a k detailnímu seznámení se s API, především pak s funkcionalitou, počtem endpointů a architekturou. Výstupem je detailní pochopení potřeb klienta a stanovení základního rámce penetračního testu.2. Vypracování detailní nabídky a její schválení
Na základě pochopení vašich potřeb a požadavků je vypracována detailní nabídka. V rámci nabídky jsou popsány metodiky testování, testovací scénáře, způsob reportování výsledků, a především pak rozsah penetračního testu. Dále je zde navrhnut časový rámec potřebný k úspěšnému vykonání penetračního testu. Výstupem této fáze je odsouhlasení finální nabídky.3. Penetrační testování
Samotné penetrační testování pak probíhá dle stanovených a odsouhlasených požadavků. Během něj naši certifikovaní penetrační testeři odhalí jednotlivé zranitelnosti a předvedou vám, jak tyto zranitelnosti mohou být zneužity případným útočníkem.4. Reporting
Vašemu týmu doručíme detailní technickou zprávu, která obsahuje ukázky jednotlivých zranitelností, a návrhů na jejich odstranění. V případě potřeby také ochotně dodáme finální zprávu ve formě prezentace, či manažerského shrnutí daného penetračního testu, které bude srozumitelně komunikovat nálezy a rizika s nimi spojené vedení vaší společnosti.5. Podpora při odstranění zranitelností
Pokud má vaše organizace omezené vývojové kapacity, můžeme poskytnout součinnost a podporu s odstraňováním odhalených zranitelností.6. Možnost proškolení vývojového týmu
V Auxilium Cyber Security jsme také schopni na základě výsledků penetračních testů vytvořit pokyny pro bezpečné kódování (secure coding guidelines) a připravit vašemu týmu školení na téma bezpečného vývoje.Proč si vybrat právě nás?
- Náš tým se skládá ze zkušených penetračních testerů s certifikáty OSCP, OSCE nebo CISM.
- Vlastní výzkum v oblasti kybernetické bezpečnosti.
- Dodáme srozumitelný a detailní technický report včetně návrhů na odstranění zranitelností.
- Spolupráce může probíhat v češtině, angličtině nebo němčině.
- S penetračním testováním podnikové infrastruktury máme zkušenosti od roku 2015.
- V případě potřeby vytvoříme na základě výsledků penetračních testů pokyny pro bezpečné kódování nebo proškolíme vývojový tým.
Telefon
Germany: +49 (0) 7243 - 718 77 55Czech Republic: +420 739 467 470
Adresse
Siemensstraße 23
76275 Ettlingen
Germany
76275 Ettlingen
Germany
Jankovcova 1627/16a
17000 Prague
Czech Republic
17000 Prague
Czech Republic