Pentest de API REST e GraphQL
OWASP API Top 10 completa: BOLA, BFLA, mass assignment, JWT inseguro, rate limit, GraphQL injection, autorização granular por field.
Por que agora
A dor real
API é a superfície que mais cresce e a que mais sofre. O atacante não precisa de UI — chama o endpoint direto. BOLA, BFLA e mass assignment representam 70% dos vazamentos modernos no Brasil. Scanner não enxerga ownership. Pentest manual de API é o único caminho para validar autorização granular.
Frameworks aplicáveis
/superficie-de-ataque
Pentest de API
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
BOLA — Broken Object Level Authorization
IDOR de objeto: trocar ID na URL e acessar dado de outro usuário/tenant. O finding mais comum em API moderna.
BFLA — Broken Function Level Authorization
Acesso a função administrativa sem ser admin, escalação horizontal entre papéis.
Mass assignment / property abuse
Setar campos privilegiados via JSON (is_admin=true, role=owner). Frequente em ORM auto-bind.
JWT, OAuth2, OIDC
Algoritmo none, RS256→HS256 confusion, kid injection, JWKs públicas, refresh eterno, validação de issuer/audience.
Rate limit, DoS e custo aberto
Endpoint pago sem rate, LLM-DoS, drain de OpenAI/Anthropic key, regex catastrophic.
GraphQL specifics
Introspecção exposta, queries aninhadas (DoS), batching abuse, autorização por field, alias overload.
SSRF, CORS, headers
Server-Side Request Forgery em integrações, CORS aberto com credenciais, headers de segurança ausentes.
API Gateway, WAF e BFF
Bypass de WAF, smuggling, regras de roteamento, segregação BFF→backend, mTLS.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
API PIX, Open Finance FAPI 1.0 Adv., gateway de pagamento, BFF de fintech, microsserviços em service mesh com mTLS.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Pentest de API
Pentest de API é o mesmo que pentest web?
Não. Web cobre UI + frontend + backend. API foca em endpoints REST/GraphQL: BOLA, BFLA, mass assignment, JWT, rate limit. Metodologia OWASP API Top 10 (separada da Top 10 web).
Preciso fornecer Swagger/Postman?
Fortemente recomendado. Sem documentação, 20-30% do tempo vai em recon. Com Swagger/OpenAPI ou collection Postman, o preço cai 15-25%.
GraphQL precisa de pentest diferente?
Sim. GraphQL tem ataques específicos: introspecção, queries aninhadas (DoS), batching, autorização por field. Operamos com InQL, GraphQL Voyager e payloads customizados.
Cobre BFF, API Gateway e WAF?
Sim. BFF, API Gateway (Kong, AWS API Gateway, Apigee) e WAF (Cloudflare, AWS WAF) entram no escopo se forem parte da superfície. Frequentemente é onde o bypass mora.
Faixa de preço?
API pequena (até 30 endpoints): R$ 6-15k. Média (30-100): R$ 15-35k. GraphQL com schema rico: R$ 18-45k. API regulada (FAPI/PIX/Open Finance): R$ 40-100k.
/contato
Cotar pentest de API
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.