Autorizare ruptă la nivel de obiect și funcție (BOLA/BFLA)
Riscul API numărul unu: accesarea obiectelor altor utilizatori sau a funcțiilor privilegiate prin manipularea identificatorilor, rolurilor și parametrilor pe fiecare endpoint.
Autentificare & securitatea token-urilor
Autentificare slabă sau lipsă, gestionare JWT și API-key, configurări greșite OAuth/OIDC și atacuri pe credențiale și sesiuni.
Expunere excesivă de date & mass assignment
Endpoint-uri care returnează mai multe date decât are nevoie clientul și care acceptă parametri neașteptați ce permit modificarea câmpurilor protejate.
Rate limiting, consum de resurse & business logic
Consum nelimitat de resurse (DoS), scraping și abuz de workflow-uri și cote legitime.
Testare specifică GraphQL
Expunere introspection, denial-of-service prin query-uri adânc imbricate, abuz de batching și goluri de autorizare la nivel de resolver.
Framework-uri & standarde
Ce primești
- Constatări per endpoint cu severitate (CVSS) și reproducere
- Ghid de remediere pentru dezvoltatori
- Sumar executiv pentru management și auditori
- Retestare gratuită a remedierilor
FAQ
De ce ai nevoie ca să începem?
Documentația API (OpenAPI/Swagger sau o colecție Postman) și conturi de test cu roluri diferite.
Testați GraphQL?
Da — inclusiv introspection, DoS prin query-uri imbricate, batching și autorizare la resolver.
Se poate combina cu testarea aplicației web?
Da — API-urile și front-end-urile lor web se definesc adesea împreună pentru acoperire completă.