API-pentest

Een API-pentest is een penetratietest die specifiek is gericht op een of meer Application Programming Interfaces (APIs). API’s zijn te beschouwen als een digitaal doorgeefluik: ze worden gebruikt voor het (digitaal) koppelen van systemen op private of publieke netwerken (cloud, internet).

Een API-pentest is veelal onderdeel van een webapplication-penetratietest, maar LBVD kan ook een aparte API-pentest voor u verzorgen.

API

Via een API wisselen systemen data, gegevens c.q. informatie uit, gebruik makend van specifieke protocollen. Via een API kan bijvoorbeeld een CRM-webapplicatie door een postcode op te geven bij een ander systeem een straat- en plaatsnaam opvragen. Andere voorbeelden zijn het opvragen van voorraad- en productinformatie bij een ERP-systeem en het realiseren van Single Sign On (SSO) toegang.

Allerlei aspecten en techniek komen om de hoek kijken bij het implementeren van API’s. Denk bijvoorbeeld aan configuratie, authenticatie, sessies, rechten (tokens), input validatie en protocollen zoals HTTP, XML, SQL en SSL. Daarnaast zijn API’s veelal maatwerk waarbij diverse fouten mogelijk zijn. Uiteenlopende kwetsbaarheden kunnen API’s parten spelen en dus is aandacht voor de veiligheid van API’s essentieel, temeer omdat API’s vaak via internet bereikbaar zijn (“internet-facing”). Heel internet kan er bij …

Actieplan

Tijdens een API-pentest kammen de (ethisch) hackers van LBVD de API(s) uit op uiteenlopende soorten kwetsbaarheden, teneinde het mogelijk te maken deze te elimineren voordat kwaadwillenden ze kunnen misbruiken. Naast met hun kennis en jarenlange ervaring doen ze dat op basis van de Penetration Testing Execution Standard (PTES), de OWASP Web Security Testing Guide (WSTG), de OWASP API Security Top 10 voor het pentesten van API’s. LBVD helpt u aan een adequaat actieplan voor de hoge, midden en lage risico’s zodat u direct corrigerende maatregelen kunt treffen. Via een hertest (“validatietest”) verifiëren we later of dat is gelukt.