Broken Object-Level Authorization (BOLA / IDOR) · CWE-639 · CVSS 9.1 - object returned for a user you are not authorized as.
Che cos'è Pentest API?
Il penetration testing delle API è una valutazione di sicurezza manuale in cui tester certificati attaccano le tue API REST, GraphQL e SOAP come farebbe un vero avversario - abusando dell'autorizzazione a livello di oggetto e di funzione, dell'autenticazione non funzionante, dell'eccessiva esposizione dei dati e del mass assignment. CyberXplore mappa ogni endpoint, parametro e ruolo, poi esegue test manuali guidati da senior rispetto alla OWASP API Security Top 10 per far emergere le falle di autorizzazione e business logic che gli scanner semplicemente non riescono a raggiungere. Ricevi indicazioni di remediation prioritizzate e pronte per gli sviluppatori, oltre a retest gratuiti per confermare ogni correzione.
OWASP API Security Top 10OWASP WSTGPTESNIST SP 800-115
Perché CyberXplore
Solo tester senior (OSCP, CRTP, CREST)
Certificazione ISO 27001 & ISO 9001
Retest gratuito + lettera di attestazione
Scope e preventivo su misura in 24 ore
Perché è importante
Le API sono ormai la superficie di attacco dominante: espongono dati e logica in modo diretto, e falle di autorizzazione come BOLA/IDOR permettono agli attaccanti di leggere o modificare i record di altri utenti con un singolo ID modificato.
Eccessiva esposizione dei dati, mass assignment e risposte troppo dettagliate rivelano campi sensibili che la tua UI non mostra mai, trasformando un endpoint di routine in una vera e propria violazione dei dati.
Gli scanner automatici non riescono a comprendere i tuoi modelli di oggetti, i ruoli utente o i flussi di business - solo i test manuali individuano in modo affidabile l'autorizzazione non funzionante a livello di oggetto e di funzione.
Partner, clienti e framework come SOC 2, ISO 27001 e PCI DSS richiedono sempre più spesso evidenze indipendenti di test di sicurezza delle API prima di procedere con le integrazioni.
Allineato agli standard di settore: OWASP API Security Top 10 · OWASP WSTG · PTES · NIST SP 800-115
La nostra metodologia
01
Scoping e Discovery delle API
Raccogliamo le tue specifiche OpenAPI/Swagger, gli schemi GraphQL, i WSDL e le collezioni Postman, definiamo i ruoli utente e le regole di ingaggio ed enumeriamo ogni endpoint, metodo e parametro - comprese le API nascoste, deprecate e shadow.
02
Test di Autenticazione e Autorizzazione
Attacchiamo l'emissione dei token, i flussi JWT/OAuth, le chiavi API e la gestione delle sessioni, poi testiamo metodicamente l'autorizzazione BOLA (a livello di oggetto) e BFLA (a livello di funzione) su ogni ruolo per esporre escalation di privilegi e accessi cross-tenant.
03
Exploitation Manuale
Combiniamo strumenti ottimizzati con test manuali approfonditi per injection, mass assignment, eccessiva esposizione dei dati, SSRF, abuso di rate-limiting e consumo di risorse, e problemi specifici di GraphQL come introspection, batching e DoS da query annidate.
04
Business Logic e Concatenamento
Abusiamo di flussi di lavoro multi-step e concateniamo le singole vulnerabilità per dimostrare un impatto reale e concreto sul business - account takeover, esfiltrazione di dati o manipolazione finanziaria - non un rischio teorico.
05
Reportistica
Ricevi un report chiaro con gravità CVSS, endpoint interessati, evidenze grezze di richiesta/risposta, passi di riproduzione e indicazioni di remediation pronte per gli sviluppatori, mappate sulla OWASP API Security Top 10.
06
Supporto alla Remediation e Retest
Supportiamo i tuoi ingegneri nelle correzioni e ripetiamo il test di ogni problema per confermarne la risoluzione - incluso gratuitamente, con lettera di verifica della remediation e di attestazione.
Cosa testiamo
Endpoint API REST, GraphQL e SOAP/XML
Broken Object Level Authorization (BOLA/IDOR) e accesso cross-tenant
Broken Function Level Authorization (BFLA) ed escalation di privilegi
Autenticazione non funzionante, JWT/OAuth, chiavi API e gestione delle sessioni
Eccessiva esposizione dei dati e fuga di campi sensibili
Mass assignment e autorizzazione a livello di proprietà degli oggetti
Injection (SQL, NoSQL, command) e SSRF tramite parametri API
Rate limiting, throttling e consumo di risorse non limitato
Introspection GraphQL, batching delle query e DoS da query annidate
Configurazioni di sicurezza errate, CORS, errori troppo dettagliati e gestione impropria dell'inventario
Cosa ottieni
Sintesi esecutiva per il management e gli stakeholder
Risultati tecnici dettagliati con gravità CVSS e mappatura degli endpoint
Evidenze grezze di richiesta/risposta e riproduzione passo dopo passo
Risultati mappati sulla OWASP API Security Top 10
Indicazioni di remediation prioritizzate e pronte per gli sviluppatori
Retest gratuito con lettera di verifica della remediation
Lettera di attestazione per clienti, auditor e compliance
Esempio di deliverable
Cosa vedrai nel tuo report
Ogni engagement si conclude con un report chiaro e prioritizzato: finding classificati per severità con punteggi CVSS, asset coinvolti e stato di remediation - più un retest gratuito. I dati riportati di seguito sono illustrativi.
Finding per severità
24 total
Critical
1
High
6
Medium
10
Low
7
Critical · CVSS 9.1CX-204
Broken object-level authorization (BOLA / IDOR)
CWE-639api.example.comOpen
High · CVSS 8.2CX-211
Broken function-level authorization on admin route
CWE-285api.example.comRetested
Esempio illustrativo: api penetration test - anonimizzato su example.com.
High · CVSS 7.6CX-217
Mass assignment allows role escalation
CWE-915api.example.comOpen
Vuoi il report di esempio anonimizzato completo? Lo includeremo nel tuo preventivo.
Dati cumulativi sull'insieme degli incarichi svolti dal nostro team
Condiviso sotto NDA · dettagli anonimizzati
“CyberXplore found critical issues three previous vendors missed. The report was the clearest we've ever received - our engineers fixed everything in a week, and the free retest confirmed every fix held.”
23 critical findings surfaced
HS
Head of Security
European SaaS platform · Series C · 450 employees
B2B SaaS
Condiviso sotto NDA · dettagli anonimizzati
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Certificazioni dei nostri tester
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Domande frequenti
Testiamo API REST/JSON, GraphQL, SOAP/XML, gRPC e basate su webhook. Lavoriamo a partire dalle tue specifiche OpenAPI/Swagger, dallo schema GraphQL, dal WSDL o dalla collezione Postman - e ricerchiamo anche endpoint non documentati, deprecati e shadow.