API’ler, modern uygulamaların birbiriyle ve dış dünyayla konuştuğu omurgadır; bu nedenle bir açık, doğrudan verilerinize erişim anlamına gelebilir. Üstelik API zafiyetlerinin çoğu, klasik tarayıcılarla değil, ancak iş mantığını anlayan manuel testlerle bulunur.
SAVKOR’un API güvenlik testi, OWASP API Security Top 10 metodolojisine dayanır. En sık ve en kritik API açığı olan yetkilendirme hataları (BOLA/IDOR) başta olmak üzere, kimlik doğrulama, veri ifşası ve iş mantığı kötüye kullanımı senaryolarını kapsamlı biçimde değerlendirir.
Test Kapsamı
- Nesne düzeyi yetkilendirme (BOLA/IDOR)
- Kimlik doğrulama ve token güvenliği
- Aşırı veri ifşası ve kütle atama (mass assignment)
- Kaynak tüketimi ve hız sınırlama (rate limiting)
- İş mantığı ve fonksiyon düzeyi yetkilendirme
- GraphQL'e özgü riskler: introspection, iç içe sorgular
Metodoloji
- 01
Keşif & Şema Analizi
Tüm uç noktalar, parametreler ve varsa API dokümantasyonu (OpenAPI/GraphQL şeması) çıkarılır.
- 02
Kimlik & Yetki Testleri
Kimlik doğrulama mekanizmaları ve nesne/fonksiyon düzeyi yetkilendirme kontrolleri test edilir.
- 03
Girdi & İş Mantığı
Veri doğrulama, enjeksiyon ve iş akışlarının kötüye kullanımı senaryoları denenir.
- 04
Doğrulama & Etki
Bulgular manuel doğrulanır; sömürülebilirlik ve iş etkisi kanıtlanır.
- 05
Raporlama
Bulgular, kanıtlar ve düzeltme önerileri önceliklendirilerek raporlanır.
Teslimatlar
- Yönetici özeti ve risk görünümü
- Uç nokta bazında teknik bulgular ve kanıt istekleri (PoC)
- OWASP API Top 10 eşleştirmesi ve CVSS puanı
- Önceliklendirilmiş çözüm önerileri
- Düzeltme sonrası yeniden test ve kapanış dokümanı
Sık Sorulan Sorular
REST dışında GraphQL ve SOAP da test ediliyor mu?
Evet. REST, SOAP ve GraphQL servislerinin her biri kendi mimarisine özgü risklerle (örneğin GraphQL introspection) birlikte test edilir.
API dokümantasyonu sağlamam şart mı?
Şart değil ama faydalıdır. OpenAPI/Swagger veya GraphQL şeması paylaşırsanız kapsam daha eksiksiz ve hızlı çıkar; yoksa uç noktalar keşif yoluyla haritalanır.
Mikroservis mimarisi test edilebilir mi?
Evet. Çok sayıda servisten oluşan mimarilerde kapsam, kritik servisler önceliklendirilerek birlikte belirlenir.