Tests de sécurité API

Votre API peut exposer les données de tous les utilisateurs en changeant un seul chiffre dans l'URL.

Les APIs alimentent les applications mobiles, les intégrations tierces et les outils internes, et elles sont aujourd'hui la source la plus fréquente de violations de données à grande échelle. Cette évaluation vérifie si votre API applique correctement les droits d'accès pour chaque objet et chaque action, sur chaque endpoint.

• →Accès objet défaillant : l'utilisateur A peut-il demander les enregistrements de l'utilisateur B en changeant un ID dans la requête ?
• →Accès fonction défaillant : un utilisateur ordinaire peut-il appeler des endpoints réservés aux administrateurs ?
• →Affectation de masse : un attaquant peut-il modifier des champs cachés, comme se donner lui-même le rôle d'administrateur ?
• →Lacunes d'authentification : les tokens peuvent-ils être forgés, rejoués après expiration, ou contournés entièrement ?
• →Limitation de débit : un attaquant peut-il forcer par brute-force des mots de passe ou inonder des endpoints sans être bloqué ?
• →Sur-exposition des données : l'API retourne-t-elle plus de données que l'application n'en affiche réellement ?
• →GraphQL : la structure interne des données peut-elle être entièrement cartographiée ? Des requêtes en masse peuvent-elles épuiser le serveur ?
• →Endpoints dépréciés et non documentés qui ne sont plus maintenus mais toujours actifs.