API тестване за проникване
По време на тестване за проникване посредством API, ние тестваме функциите / методите на API, как може да бъде злоупотребено с тях и как могат да бъдат заобиколени оторизацията и удостоверяването. Също така тестовете показват дали можем да предизвикаме някаква форма на инжектиране на команди или дори XSS, ако резултатът от функцията са визуализирани данни на страницата. Ние подлагаме API на тези тестове, за да разкрием всякакви уязвимости в сигурността, които може да съществуват.
Методология
- Fuzz тестване
- Инжектиране на команди
- Тест за (не) упълномощени крайни точки и методи
- Тест за удостоверяване и управление на сесии на всички крайни точки
- Тествайте необработени HTTP методи
- Фалшифициране на параметри