Pentest di API REST e GraphQL
OWASP API Top 10 completo: BOLA, BFLA, mass assignment, JWT insicuro, rate limit, GraphQL injection, autorizzazione granulare per field.
Perché ora
Il dolore reale
Le API sono la superficie che cresce di più e che subisce di più. L'attaccante non ha bisogno di UI — chiama l'endpoint diretto. BOLA, BFLA e mass assignment rappresentano il 70% delle fughe moderne in Brasile. Lo scanner non vede ownership. Il pentest manuale di API è l'unico modo per validare autorizzazione granulare.
Framework applicabili
/superficie-di-attacco
Pentest de API
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
BOLA — Broken Object Level Authorization
IDOR di oggetto: cambiare l'ID nell'URL e accedere al dato di un altro utente/tenant. Il finding più comune in API moderna.
BFLA — Broken Function Level Authorization
Accesso a funzione amministrativa senza essere admin, escalation orizzontale tra ruoli.
Mass assignment / property abuse
Settare campi privilegiati via JSON (is_admin=true, role=owner). Frequente in ORM auto-bind.
JWT, OAuth2, OIDC
Algoritmo none, RS256→HS256 confusion, kid injection, JWKs pubbliche, refresh eterno, validazione di issuer/audience.
Rate limit, DoS e costo aperto
Endpoint a pagamento senza rate limit, LLM-DoS, drain di chiave OpenAI/Anthropic, regex catastrofico.
GraphQL specifics
Introspezione esposta, query annidate (DoS), batching abuse, autorizzazione per field.
SSRF, CORS, headers
Server-Side Request Forgery nelle integrazioni, CORS aperto con credenziali, header di sicurezza mancanti.
API Gateway, WAF e BFF
Bypass di WAF, smuggling, regole di routing, segregazione BFF→backend, mTLS.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
API PIX, Open Finance FAPI 1.0 Adv., gateway di pagamento, BFF fintech, microservizi in service mesh con mTLS.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Pentest de API
Il pentest di API è lo stesso del pentest web?
No. Il web copre UI + frontend + backend. L'API si concentra su endpoint REST/GraphQL: BOLA, BFLA, mass assignment, JWT, rate limit. Metodologia è OWASP API Top 10.
Devo fornire Swagger/Postman?
Fortemente raccomandato. Senza documentazione, il 20-30% del tempo va in recon. Con Swagger/OpenAPI o collection Postman, il prezzo scende del 15-25%.
GraphQL richiede pentest diverso?
Sì. GraphQL ha attacchi specifici: introspezione, query annidate (DoS), batching, autorizzazione per field.
Copre BFF, API Gateway e WAF?
Sì. BFF, API Gateway (Kong, AWS API Gateway, Apigee) e WAF (Cloudflare, AWS WAF) entrano nello scope.
Fascia di prezzo?
API piccola (fino a 30 endpoint): R$ 6-15k. Media (30-100): R$ 15-35k. GraphQL con schema ricco: R$ 18-45k. Regolata (FAPI/PIX): R$ 40-100k.
/contatti
Richiedi un preventivo pentest API
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.