API Güvenlik Testi

REST, SOAP ve GraphQL servislerinizi OWASP API Security Top 10 doğrultusunda test ederek kimlik doğrulama, yetkilendirme ve iş mantığı açıklarını ortaya çıkarıyoruz.

OWASP API Security Top 10OWASP WSTGPTES

API’ler, modern uygulamaların birbiriyle ve dış dünyayla konuştuğu omurgadır; bu nedenle bir açık, doğrudan verilerinize erişim anlamına gelebilir. Üstelik API zafiyetlerinin çoğu, klasik tarayıcılarla değil, ancak iş mantığını anlayan manuel testlerle bulunur.

SAVKOR’un API güvenlik testi, OWASP API Security Top 10 metodolojisine dayanır. En sık ve en kritik API açığı olan yetkilendirme hataları (BOLA/IDOR) başta olmak üzere, kimlik doğrulama, veri ifşası ve iş mantığı kötüye kullanımı senaryolarını kapsamlı biçimde değerlendirir.

Test Kapsamı

  • Nesne düzeyi yetkilendirme (BOLA/IDOR)
  • Kimlik doğrulama ve token güvenliği
  • Aşırı veri ifşası ve kütle atama (mass assignment)
  • Kaynak tüketimi ve hız sınırlama (rate limiting)
  • İş mantığı ve fonksiyon düzeyi yetkilendirme
  • GraphQL'e özgü riskler: introspection, iç içe sorgular

Metodoloji

  1. 01

    Keşif & Şema Analizi

    Tüm uç noktalar, parametreler ve varsa API dokümantasyonu (OpenAPI/GraphQL şeması) çıkarılır.

  2. 02

    Kimlik & Yetki Testleri

    Kimlik doğrulama mekanizmaları ve nesne/fonksiyon düzeyi yetkilendirme kontrolleri test edilir.

  3. 03

    Girdi & İş Mantığı

    Veri doğrulama, enjeksiyon ve iş akışlarının kötüye kullanımı senaryoları denenir.

  4. 04

    Doğrulama & Etki

    Bulgular manuel doğrulanır; sömürülebilirlik ve iş etkisi kanıtlanır.

  5. 05

    Raporlama

    Bulgular, kanıtlar ve düzeltme önerileri önceliklendirilerek raporlanır.

Teslimatlar

  • Yönetici özeti ve risk görünümü
  • Uç nokta bazında teknik bulgular ve kanıt istekleri (PoC)
  • OWASP API Top 10 eşleştirmesi ve CVSS puanı
  • Önceliklendirilmiş çözüm önerileri
  • Düzeltme sonrası yeniden test ve kapanış dokümanı

Sık Sorulan Sorular

REST dışında GraphQL ve SOAP da test ediliyor mu?

Evet. REST, SOAP ve GraphQL servislerinin her biri kendi mimarisine özgü risklerle (örneğin GraphQL introspection) birlikte test edilir.

API dokümantasyonu sağlamam şart mı?

Şart değil ama faydalıdır. OpenAPI/Swagger veya GraphQL şeması paylaşırsanız kapsam daha eksiksiz ve hızlı çıkar; yoksa uç noktalar keşif yoluyla haritalanır.

Mikroservis mimarisi test edilebilir mi?

Evet. Çok sayıda servisten oluşan mimarilerde kapsam, kritik servisler önceliklendirilerek birlikte belirlenir.

Güvenlik açıklarınızı saldırganlardan önce keşfedin.

Ücretsiz ön değerlendirme