API-pentest

Een API-pentest is een penetratietest die specifiek is gericht op één of meer Application Programming Interfaces (API’s). API’s zijn te beschouwen als een digitaal doorgeefluik: ze worden gebruikt voor het digitaal koppelen van systemen op private of publieke netwerken (cloud, internet).
LBVD kan een API-pentest apart of als onderdeel van een webapplication-penetratietest uitvoeren.

Via een API wisselen systemen data, gegevens c.q. informatie uit. Daarbij maken ze gebruik van specifieke protocollen. Via een API kan bijvoorbeeld een CRM-webapplicatie door een postcode op te geven bij een ander systeem een straat- en plaatsnaam opvragen. Twee andere voorbeelden zijn het opvragen van voorraad- en productinformatie bij een ERP-systeem en het realiseren van Single Sign On (SSO) toegang.

Allerlei technische aspecten komen om de hoek kijken bij het implementeren van API’s. Denk bijvoorbeeld aan configuratie, authenticatie, sessies, rechten (tokens), invoervalidatie en protocollen zoals HTTP, XML, SQL en SSL. Daarnaast zijn API’s veelal maatwerk waarbij uiteenlopende fouten mogelijk zijn. Verschillende soorten kwetsbaarheden kunnen API’s parten spelen en dus is aandacht voor de veiligheid van API’s essentieel, temeer omdat API’s vaak “internet-facing” zijn: heel internet kan er bij …

Actieplan

Tijdens een API-pentest kammen de (ethisch) hackers van LBVD de API’s uit op uiteenlopende soorten kwetsbaarheden, om het mogelijk te maken deze te elimineren voordat kwaadwillenden ze kunnen misbruiken. Naast via hun kennis en jarenlange ervaring doen ze dat op basis van de Penetration Testing Execution Standard (PTES), de OWASP Web Security Testing Guide (WSTG) en de OWASP API Security Top 10 voor het pentesten van API’s. LBVD helpt u aan een adequaat actieplan voor de hoge, midden en lage risico’s zodat u direct corrigerende maatregelen kunt treffen. Via een hertest (“validatietest”) toetst LBVD later of dat is gelukt.

Meer weten?

Neem contact met ons op via advies@lbvd.nl of 015 2682533