Skip to content
CyberXplore - Xplore the Unseen
Penetration Testing

Penetration Testing delle API

Metti in sicurezza le API REST, GraphQL e SOAP che alimentano le tue app, i tuoi partner e le tue integrazioni.

Durata tipica
1-2 weeks
Team
2 senior testers
Report
5 business days after testing
Retest
Free, included
API · Repeater
Esempio · Illustrativo
RequestResponse200 OK· 214 ms
GET/api/orders/1024Send
Host: api.example.com
Authorization: Bearer eyJ…userBtoken ≠ owner
Accept: application/json
replay
HTTP/1.1 200 OK· 214 ms · 1.1 KB
{
"id": 1024,
"customer": "[email protected]"← leaked · not the token owner
"total": "$4,210.00",
"status": "shipped"
}

Broken Object-Level Authorization (BOLA / IDOR) · CWE-639 · CVSS 9.1 - object returned for a user you are not authorized as.

Che cos'è Pentest API?

Il penetration testing delle API è una valutazione di sicurezza manuale in cui tester certificati attaccano le tue API REST, GraphQL e SOAP come farebbe un vero avversario - abusando dell'autorizzazione a livello di oggetto e di funzione, dell'autenticazione non funzionante, dell'eccessiva esposizione dei dati e del mass assignment. CyberXplore mappa ogni endpoint, parametro e ruolo, poi esegue test manuali guidati da senior rispetto alla OWASP API Security Top 10 per far emergere le falle di autorizzazione e business logic che gli scanner semplicemente non riescono a raggiungere. Ricevi indicazioni di remediation prioritizzate e pronte per gli sviluppatori, oltre a retest gratuiti per confermare ogni correzione.

OWASP API Security Top 10OWASP WSTGPTESNIST SP 800-115

Perché CyberXplore

  • Solo tester senior (OSCP, CRTP, CREST)
  • Certificazione ISO 27001 & ISO 9001
  • Retest gratuito + lettera di attestazione
  • Scope e preventivo su misura in 24 ore

Perché è importante

Le API sono ormai la superficie di attacco dominante: espongono dati e logica in modo diretto, e falle di autorizzazione come BOLA/IDOR permettono agli attaccanti di leggere o modificare i record di altri utenti con un singolo ID modificato.

Eccessiva esposizione dei dati, mass assignment e risposte troppo dettagliate rivelano campi sensibili che la tua UI non mostra mai, trasformando un endpoint di routine in una vera e propria violazione dei dati.

Gli scanner automatici non riescono a comprendere i tuoi modelli di oggetti, i ruoli utente o i flussi di business - solo i test manuali individuano in modo affidabile l'autorizzazione non funzionante a livello di oggetto e di funzione.

Partner, clienti e framework come SOC 2, ISO 27001 e PCI DSS richiedono sempre più spesso evidenze indipendenti di test di sicurezza delle API prima di procedere con le integrazioni.

Allineato agli standard di settore: OWASP API Security Top 10 · OWASP WSTG · PTES · NIST SP 800-115

La nostra metodologia

  1. 01

    Scoping e Discovery delle API

    Raccogliamo le tue specifiche OpenAPI/Swagger, gli schemi GraphQL, i WSDL e le collezioni Postman, definiamo i ruoli utente e le regole di ingaggio ed enumeriamo ogni endpoint, metodo e parametro - comprese le API nascoste, deprecate e shadow.

  2. 02

    Test di Autenticazione e Autorizzazione

    Attacchiamo l'emissione dei token, i flussi JWT/OAuth, le chiavi API e la gestione delle sessioni, poi testiamo metodicamente l'autorizzazione BOLA (a livello di oggetto) e BFLA (a livello di funzione) su ogni ruolo per esporre escalation di privilegi e accessi cross-tenant.

  3. 03

    Exploitation Manuale

    Combiniamo strumenti ottimizzati con test manuali approfonditi per injection, mass assignment, eccessiva esposizione dei dati, SSRF, abuso di rate-limiting e consumo di risorse, e problemi specifici di GraphQL come introspection, batching e DoS da query annidate.

  4. 04

    Business Logic e Concatenamento

    Abusiamo di flussi di lavoro multi-step e concateniamo le singole vulnerabilità per dimostrare un impatto reale e concreto sul business - account takeover, esfiltrazione di dati o manipolazione finanziaria - non un rischio teorico.

  5. 05

    Reportistica

    Ricevi un report chiaro con gravità CVSS, endpoint interessati, evidenze grezze di richiesta/risposta, passi di riproduzione e indicazioni di remediation pronte per gli sviluppatori, mappate sulla OWASP API Security Top 10.

  6. 06

    Supporto alla Remediation e Retest

    Supportiamo i tuoi ingegneri nelle correzioni e ripetiamo il test di ogni problema per confermarne la risoluzione - incluso gratuitamente, con lettera di verifica della remediation e di attestazione.

Cosa testiamo

  • Endpoint API REST, GraphQL e SOAP/XML
  • Broken Object Level Authorization (BOLA/IDOR) e accesso cross-tenant
  • Broken Function Level Authorization (BFLA) ed escalation di privilegi
  • Autenticazione non funzionante, JWT/OAuth, chiavi API e gestione delle sessioni
  • Eccessiva esposizione dei dati e fuga di campi sensibili
  • Mass assignment e autorizzazione a livello di proprietà degli oggetti
  • Injection (SQL, NoSQL, command) e SSRF tramite parametri API
  • Rate limiting, throttling e consumo di risorse non limitato
  • Introspection GraphQL, batching delle query e DoS da query annidate
  • Configurazioni di sicurezza errate, CORS, errori troppo dettagliati e gestione impropria dell'inventario

Cosa ottieni

  • Sintesi esecutiva per il management e gli stakeholder
  • Risultati tecnici dettagliati con gravità CVSS e mappatura degli endpoint
  • Evidenze grezze di richiesta/risposta e riproduzione passo dopo passo
  • Risultati mappati sulla OWASP API Security Top 10
  • Indicazioni di remediation prioritizzate e pronte per gli sviluppatori
  • Retest gratuito con lettera di verifica della remediation
  • Lettera di attestazione per clienti, auditor e compliance
Esempio di deliverable

Cosa vedrai nel tuo report

Ogni engagement si conclude con un report chiaro e prioritizzato: finding classificati per severità con punteggi CVSS, asset coinvolti e stato di remediation - più un retest gratuito. I dati riportati di seguito sono illustrativi.

Finding per severità

24 total
Critical
1
High
6
Medium
10
Low
7
Critical · CVSS 9.1CX-204

Broken object-level authorization (BOLA / IDOR)

CWE-639api.example.comOpen
High · CVSS 8.2CX-211

Broken function-level authorization on admin route

CWE-285api.example.comRetested

Esempio illustrativo: api penetration test - anonimizzato su example.com.

Vuoi il report di esempio anonimizzato completo? Lo includeremo nel tuo preventivo.

Vedi un report di esempio

Pronto a definire lo scope del tuo progetto?

Dicci cosa vuoi testare: riceverai uno scope e un preventivo su misura entro 24 ore.

Richiedi un preventivo
Prove, non promesse

Team che hanno testato con noi

0+
Progetti di sicurezza realizzati
0+
Vulnerabilità individuate e segnalate
0+
Organizzazioni messe in sicurezza
0+
Anni di competenza offensiva

Dati cumulativi sull'insieme degli incarichi svolti dal nostro team

Condiviso sotto NDA · dettagli anonimizzati
CyberXplore found critical issues three previous vendors missed. The report was the clearest we've ever received - our engineers fixed everything in a week, and the free retest confirmed every fix held.
23 critical findings surfaced
Head of Security
European SaaS platform · Series C · 450 employees
B2B SaaS
Condiviso sotto NDA · dettagli anonimizzati
Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.
SOC 2 passed first attempt
VP of Engineering
Series B FinTech · Payments platform
FinTech

Certificazioni dei nostri tester

  • OSCP
  • CRTP
  • CREST
  • CEH
  • eWPTX
  • ISO 27001
  • ISO 9001

Domande frequenti

Testiamo API REST/JSON, GraphQL, SOAP/XML, gRPC e basate su webhook. Lavoriamo a partire dalle tue specifiche OpenAPI/Swagger, dallo schema GraphQL, dal WSDL o dalla collezione Postman - e ricerchiamo anche endpoint non documentati, deprecati e shadow.

Pronto a vedere ciò che vedono gli attaccanti?

Ricevi uno scope e un preventivo su misura in 24 ore. Senza pressioni, senza tecnicismi: solo chiarezza sul tuo rischio.

  • Retest gratuito di ogni correzione
  • Scope e preventivo in 24 ore
  • Solo tester senior
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Richiedi un preventivo