Pentest de API REST y GraphQL
OWASP API Top 10 completo: BOLA, BFLA, mass assignment, JWT inseguro, rate limit, GraphQL injection, autorización granular por field.
Por qué ahora
El dolor real
La API es la superficie que más crece y la que más sufre. El atacante no necesita UI — llama el endpoint directo. BOLA, BFLA y mass assignment representan el 70% de las fugas modernas en Brasil. El scanner no ve ownership. Pentest manual de API es el único camino para validar autorización granular.
Marcos aplicables
/superficie-de-ataque
Pentest de API
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
BOLA — Broken Object Level Authorization
IDOR de objeto: cambiar el ID en la URL y acceder a dato de otro usuario/tenant. El hallazgo más común en API moderna.
BFLA — Broken Function Level Authorization
Acceso a función administrativa sin ser admin, escalación horizontal entre roles.
Mass assignment / property abuse
Setear campos privilegiados vía JSON (is_admin=true, role=owner). Frecuente en ORM auto-bind.
JWT, OAuth2, OIDC
Algoritmo none, RS256→HS256 confusion, kid injection, JWKs públicas, refresh eterno, validación de issuer/audience.
Rate limit, DoS y costo abierto
Endpoint pago sin rate limit, LLM-DoS, drain de OpenAI/Anthropic key, regex catastrofico.
GraphQL specifics
Introspección expuesta, queries anidadas (DoS), batching abuse, autorización por field.
SSRF, CORS, headers
Server-Side Request Forgery en integraciones, CORS abierto con credenciales, headers de seguridad ausentes.
API Gateway, WAF y BFF
Bypass de WAF, smuggling, reglas de ruteo, segregación BFF→backend, mTLS.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
API PIX, Open Finance FAPI 1.0 Adv., gateway de pago, BFF de fintech, microservicios en service mesh con mTLS.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Pentest de API
¿Pentest de API es lo mismo que pentest web?
No. Web cubre UI + frontend + backend. API foca en endpoints REST/GraphQL: BOLA, BFLA, mass assignment, JWT, rate limit. Metodología es OWASP API Top 10 (separada de Top 10 web).
¿Necesito proveer Swagger/Postman?
Fuertemente recomendado. Sin documentación, 20-30% del tiempo va en recon. Con Swagger/OpenAPI o Postman collection, el precio cae 15-25%.
¿GraphQL necesita pentest diferente?
Sí. GraphQL tiene ataques específicos: introspección, queries anidadas (DoS), batching, autorización por field.
¿Cubre BFF, API Gateway y WAF?
Sí. BFF, API Gateway (Kong, AWS API Gateway, Apigee) y WAF (Cloudflare, AWS WAF) entran en el alcance.
¿Rango de precio?
API pequeña (hasta 30 endpoints): R$ 6-15k. Media (30-100): R$ 15-35k. GraphQL con schema rico: R$ 18-45k. Regulada (FAPI/PIX): R$ 40-100k.
/contacto
Cotizar pentest de API
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.