Аудит безопасности API

API — Application Programming Interface

API (от англ. application programming interface — «интерфейс программирования приложения») позволяет различным приложениям взаимодействовать между собой, фактически — это посредник между приложениями.

Например, через API могут взаимодействовать фронтэнд и бэкенд приложения, приложения-агрегаторы приложение-агрегаторы, взаимодействующие с большим количеством источников данных и так далее.

В зависимости от целей использования API могут быть публичные, партнерские и внутренние.

API также могут быть потенциальной поверхностью атаки для злоумышленников, стремящихся получить несанкционированный доступ к конфиденциальным данным или функциям.

API, как и другие компоненты информационной инфраструктуры, могут содержать уязвимости, которые могут представлять значительные риски для бизнеса.

Это могут быть:

• Ошибки в системе авторизации на уровне объектов и функций, из-за которых злоумышленник может получить доступ к учетным данным других пользователей или информации
• Избыточность раскрываемых данных
• Подверженность атакам на отказ в обслуживании
• Использование токенов недостаточной длины и отсутствие механизмов противодействия их перебору
• Использование устаревших API, которые просто забыли отключить

Аудит безопасности API позволит выявить уязвимости и слабости в интерфейсах прикладного программирования web-приложений, связанные с:

1. Аутентификацией и авторизацией
2. Небезопасным хранением данных
3. Неправильной проверкой входных данных
4. Отсутствием ограничений на количество запросов и других механизмов контроля доступа
5. Различными инъекциями
6. Подделкой запросов на стороне сервера (SSRF) и т.д.

Когда нужен аудит API

Аудит безопасности API необходим организациям, желающим повысить безопасность своих бизнес-процессов, связанных с работой API и общий уровень информационной безопасности организации.

Этапы проведения аудита API

1. Инвентаризация API
2. Статический, динамический анализ кода API
3. Фаззинг-тестирование API
4. Тестирование на проникновение API
5. Разработка политики безопасности API

Итог проведения аудита безопасности приложения

В результате аудита безопасности API заказчик получает отчет, содержащий описание проведенных проверок, выявленные уязвимости, а также рекомендации по их устранению.

Почему RTM Group

• Большой опыт наших экспертов по проведению аудита безопасности API;
• Гибкое ценообразование при заключении договора на периодическое проведение работ.

Мы обладаем лицензиями:

• Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
• Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
• Лицензия ФСБ России на работу со средствами криптозащиты