API pentesten
API pentesten
Test uw applicaties, methoden en systemen op kwetsbaarheden middels onze API pentesten. NFIR biedt professionele API pentesting diensten, die u kunnen helpen uw applicaties te beveiligen tegen aanvallen van buitenaf die proberen ze te manipuleren en zo inbreuken veroorzaken op de vertrouwelijkheid van uw netwerk.
Scopevoorbeelden
Tijdens een API-pentest kan de API getest worden vanuit verschillende perspectieven: ongeautoriseerd (Black Box) of geautoriseerd (Grey Box).
Welke aanvalscenario´s zijn mogelijk voor API pentesten?
Het meest voorkomende aanvalsscenario voor een API is een combinatie van een Black en Grey Box. Hieronder wordt voor beide aanvalscenario’s een illustratief voorbeeld gegeven. Tijdens een intake zullen de wensen in kaart worden gebracht om vervolgens samen met de opdrachtgever een geschikt scenario te kiezen.
Black Box van de API
Met minimale informatie zal een beeld gevormd worden van kwetsbaarheden in de API. Ook zal worden onderzocht of het mogelijk is om API-verzoeken te gebruiken, zonder de daarvoor vereiste authenticatie mee te sturen. Door middel van open bronnenonderzoek (OSINT) zal zoveel mogelijk informatie verzameld worden om op basis hiervan mogelijke kwetsbaarheden te ontdekken.
Grey Box van de API
Het testen van de API vanuit geautoriseerd perspectief is minstens zo belangrijk als vanuit een niet geautoriseerd omgeving. Met dit scenario worden de handelingen nagebootst van een kwaadwillende hacker wanneer deze toegang zou krijgen tot een valide API-token. Dit wordt gerealiseerd door bijvoorbeeld het uitvoeren van een phishing aanval of een social engineering aanval. Vragen die hiermee beantwoord kunnen worden zijn bijvoorbeeld: Welke kwetsbaarheden zijn aanwezig en is het mogelijk om meer informatie op te vragen dan bedoeld of API-verzoeken te sturen welke niet bij het rechtenprofiel van de token horen?
White Box van de API
Bij dit aanvalsperspectief beschikt de pentester niet alleen over alle informatie over de werking van de API en over inloggegevens, maar ook over de broncode van de API. Zo kan het pentesten efficiënter plaatsvinden, en kan er ook gecontroleerd worden op kwetsbaarheden in de gebruikte software-afhankelijkheden.
Standaarden
NFIR gebruikt de OWASP Web Security Testing Guide (WSTG) en de OWASP API Security Top 10 voor het pentesten van API’s. Deze standaarden geven u de garantie dat de pentest volgens de juiste maatstaven en compleet wordt uitgevoerd. Wij vinden het belangrijk om zo transparant mogelijk te zijn over de uitvoering van de pentest. Om die reden bieden wij bij diverse pentest standaarden een checklist die wordt toegevoegd aan de rapportage. Hierdoor ziet u welke controles zijn uitgevoerd, welke niet uitgevoerd konden worden en welke eventueel niet van toepassing waren.
Voorbeeldrapportage API pentesten
Voorbeeldrapportage API pentesten
In deze rapportage is een pentest uitgevoerd op een fictieve omgeving, waarbij kwetsbaarheden inzichtelijk zijn gemaakt
Pentesten
Welke systemen kan u door de experts van NFIR laten testen?
Onze ethisch hackers controleren onder andere de technische weerbaarheid van (web) applicaties, websites, IT en OT-infrastructuren, API- koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.
NFIR maakt gebruik van betrouwbare pentestdiensten, gecertificeerd met het CCV-keurmerk Pentesten. Wij zijn uw Cybersecurity partner als u opzoek bent naar een nuchter Nederlands Cybersecurity bedrijf dat jarenlange ervaring heeft met pentesting. Onze gecertificeerde ethische hackers identificeren kwetsbaarheden en bieden concrete en bruikbare inzichten over de effectiviteit van uw beveiligingsmaatregelen. Neem vandaag nog contact op om ook uw cybersecurity onder de loep te nemen.
