Sfoglia categorie
Esplora
Fiverr Pro
Italiano
$
USD
Eseguirò un test di penetrazione professionale sulla sicurezza delle API rest o graphql
Penetration Tester certificato OSCP CPTS
Penetration tester certificato OSCP & CPTS presso Privacy Ninja (azienda professionale di VAPT). Eseguo valutazioni di sicurezza manuali di app web, API e WordPress — non solo output di scanner.
COSA...
Informazioni su questo servizio
eppure la maggior parte rimane senza test. Sono un penetration tester certificato OSCP & CPTS specializzato in sicurezza API. Testo manualmente la tua API REST o GraphQL contro i Top 10 di sicurezza API OWASP.
COSA TESTO:
- BOLA/IDOR: accesso alle risorse di altri utenti
- - Autenticazione rotta: token deboli, problemi JWT, esposizione delle API key
- - Autorizzazione a livello di funzione rotta: endpoint admin accessibili agli utenti
- - Consumo di risorse non limitato: rate limiting, esaurimento delle risorse
- - SSRF tramite parametri API
- - Configurazione di sicurezza errata: errori verbose, endpoint di debug, CORS
- - Iniezione: SQL, NoSQL, comando tramite parametri API
- - Iniezione OData in API aziendali/Microsoft
- CONSEGNABILI:
- - Rapporto VAPT professionale in PDF
- - punteggi CVSS per ogni vulnerabilità
- - richieste PoC (cURL/Postman) per ogni vulnerabilità
- - guida alla remediation
- - re-test incluso (Standard & Premium)
- NDA disponibile. Il testing è non distruttivo. Le API sono la superficie di attacco più mirata nelle app moderne
FAQ
Traduzione automatica.
Di cosa hai bisogno per iniziare?
Al minimo, ho bisogno dell'URL di base dell'API e di un account di test. Documenti Swagger/OpenAPI o una collezione Postman aiutano, ma non sono necessari — posso enumerare gli endpoint manualmente.
Puoi testare la nostra API di produzione?
Posso, ma raccomando vivamente un ambiente di staging. Tutti i test sono non distruttivi — nessun dato sarà modificato o eliminato senza consenso esplicito.
Testi le API delle app mobili?
Sì. Se hai un'app Android/iOS, posso intercettare e testare il traffico API sottostante. Contattami prima di ordinare per un preventivo personalizzato.
Cos'è l'iniezione OData?
OData è un protocollo di query usato da molte API aziendali. L'iniezione OData permette agli attaccanti di manipolare le query di filtro/selezione per accedere a dati non autorizzati — una vulnerabilità che trovo regolarmente in incarichi professionali.
L'inclusione del test GraphQL è prevista?
Sì. Problemi specifici di GraphQL (abuso di introspection, attacchi di batching, DoS di query annidate, bypass di autenticazione) sono coperti nei pacchetti Standard e Premium.
Puoi firmare un accordo di non divulgazione?
Sì, prima di ogni incarico.
E se ho più di 30 endpoint?
Seleziona Premium o contattami per un preventivo personalizzato con il numero di endpoint.
