api security тестирование
-
Статья Уязвимости банковских API: методология пентеста от разведки до эксплуатации
На пентесте API одного банка мы подменили account_id в GET-запросе к /api/v2/accounts/{id}/balance - и получили баланс чужого счёта. Без повышения привилегий, без обхода WAF, без единого алерта в SIEM. Банк прошёл PCI DSS аудит за месяц до этого, использовал OAuth 2.0 и выставлял API Gateway от...- Сергей Попов
- Тема
- api security тестирование bola bfla уязвимости api open banking api security owasp api top 10 безопасность rest api банка пентест api банк тестирование банковских api уязвимости банковских api
- Ответы: 0
- Раздел: Безопасность веб-приложений
-
Статья Практическая безопасность API: OWASP API Top 10, типовые уязвимости и методика тестирования
Когда берёшь в работу очередной API-пентест, первый вопрос должен быть - не «какой сканер запустить», а «как устроена логика этого сервиса». Сканер DAST найдёт отсутствие заголовков безопасности и открытый debug-эндпоинт. Но он не поймёт, что GET /api/v1/orders/1337 отдаёт чужой заказ, если...- Сергей Попов
- Тема
- api security тестирование api пентест bola уязвимость api graphql security owasp api top 10 rest api безопасность тестирование безопасности api уязвимости api
- Ответы: 1
- Раздел: Этичный хакинг и тестирование на проникновение