back

Тестування на проникнення REST API

Метою проекту було знаходження вразливостей безпеки в REST API у веб-додатках. Клієнтський RESTful веб-сервіс використовувався для обслуговування зовнішнього інтерфейсу односторінкового додатка (SPA) і мобільних додатків iOS/Android. Трафік зі SPA/мобільного інтерфейсу був захоплений для відновлення API та їх параметрів. Документ API SWAGGER був створений та підтверджений розробниками замовника для забезпечення його повноти. Потім, APIdoc був переданий сканерам веб-додатків. Також, після автоматизованого сканування, проводилось ручне тестування.

HIRE US

В результаті, клієнт отримав детальний звіт з рекомендаціями щодо того, як усунути виявлені вразливості. Деякі з них:

  • Міжсайтовий скриптинг (XSS) в повідомленнях про помилки в API
  • Небезпечна десеріалізація
  • Включення XML XEE і читання SSRF та довільних файлів
  • SQL-ін'єкції.
This website uses cookies to give you the best experience. Terms & Conditions