Een API-pentest is een penetratietest die specifiek is gericht op één of meer Application Programming Interfaces (API’s). API’s zijn te beschouwen als een digitaal doorgeefluik: ze worden gebruikt voor het digitaal koppelen van systemen op private of publieke netwerken (cloud, internet).
LBVD kan een API-pentest apart of als onderdeel van een webapplication-penetratietest uitvoeren.
Via een API wisselen systemen data, gegevens c.q. informatie uit. Daarbij maken ze gebruik van specifieke protocollen. Via een API kan bijvoorbeeld een CRM-webapplicatie door een postcode op te geven bij een ander systeem een straat- en plaatsnaam opvragen. Twee andere voorbeelden zijn het opvragen van voorraad- en productinformatie bij een ERP-systeem en het realiseren van Single Sign On (SSO) toegang.
Allerlei technische aspecten komen om de hoek kijken bij het implementeren van API’s. Denk bijvoorbeeld aan configuratie, authenticatie, sessies, rechten (tokens), invoervalidatie en protocollen zoals HTTP, XML, SQL en SSL. Daarnaast zijn API’s veelal maatwerk waarbij uiteenlopende fouten mogelijk zijn. Verschillende soorten kwetsbaarheden kunnen API’s parten spelen en dus is aandacht voor de veiligheid van API’s essentieel, temeer omdat API’s vaak “internet-facing” zijn: heel internet kan er bij …