Ir para o conteúdo principal
OWASP API Top 10 REST, GraphQL, gRPC Reteste incluído

Pentest de API profissional

APIs são a superfície de ataque mais crítica e frequentemente mais negligenciada das aplicações modernas. O pentest de API da First Security cobre o OWASP API Security Top 10 com foco em autorização por objeto (BOLA), autorização por função (BFLA), mass assignment e fluxos de negócio inseguros.

Solicitar pentest de API Falar com especialista
OWASP API Security Top 10

Cobertura completa das 10 categorias

Cada categoria é testada manualmente com casos de uso específicos para o contexto da sua API.

API1
Broken Object Level Authorization (BOLA)
Verificação se endpoints aceitam IDs de objetos pertencentes a outros usuários sem validação de propriedade.
API2
Broken Authentication
Falhas em mecanismos de autenticação: tokens fracos, ausência de expiração, reset de senha inseguro.
API3
Broken Object Property Level Auth (BOPLA)
Mass Assignment e Excessive Data Exposure: atribuição de propriedades não autorizadas ou exposição excessiva de campos.
API4
Unrestricted Resource Consumption
Ausência de rate limiting, paginação insegura e operações que consomem recursos sem restrição.
API5
Broken Function Level Authorization (BFLA)
Acesso a funções administrativas por usuários comuns, separação insuficiente de privilégios por perfil.
API6
Unrestricted Access to Sensitive Flows
Fluxos sensíveis (checkout, redefinição de senha, OTP) sem proteção contra automação e abuso.
API7
Server Side Request Forgery
SSRF em endpoints que fazem requisições a URLs externas sem validação, com risco de acesso a metadados cloud.
API8
Security Misconfiguration
Headers ausentes, CORS permissivo, endpoints de debug expostos, documentação Swagger em produção.
API9
Improper Inventory Management
APIs shadow, versões depreciadas acessíveis e endpoints não documentados descobertos via enumeração.
API10
Unsafe Consumption of APIs
Confiança excessiva em dados de APIs de terceiros sem validação e sanitização adequadas.
Tipos de API

REST, GraphQL e gRPC

REST APIs

Testes de BOLA, BFLA, rate limiting, autenticação JWT/OAuth, parâmetros de query/body maliciosos e headers de segurança. Suporte a OpenAPI/Swagger para enumeração automática de endpoints.

GraphQL

Introspecção habilitada em produção, depth limiting ausente, batching para brute force, field-level authorization, IDOR via queries aninhadas e injection em argumentos.

gRPC e WebSocket

Análise de protobuf, autorização por método, reflection habilitada em produção. WebSocket: mensagens maliciosas, ausência de autenticação por frame e race conditions.

Compliance

Pentest de API para conformidade regulatória

APIs expõem dados e funcionalidades a terceiros, tornando-se alvo preferencial de auditorias de segurança e requisitos regulatórios.

LGPD

APIs que transferem dados pessoais exigem evidências de controle de acesso e proteção conforme o art. 46.

PCI DSS 4.0

APIs de pagamento e integração com processadoras estão no escopo obrigatório do Req. 11.4.

BACEN

APIs do Open Finance e PIX precisam de testes de penetração conforme a Resolução BCB 4.893/2021.

SOC 2

APIs que expõem dados de clientes cobrem os critérios CC6.3 e CC9.2 do SOC 2.

Teste a segurança da sua API

Diagnóstico gratuito. Proposta com escopo detalhado em até 24 horas.

Solicitar orçamento