api-security-testing

Umiejętność zawierająca kompleksową metodologię testowania bezpieczeństwa interfejsów API. Obejmuje sprawdzanie autentykacji i autoryzacji, walidację parametrów wejściowych, ochronę przed SQL injection i XSS, testowanie logiki biznesowej oraz obsługę błędów. Zawiera praktyczne przykłady z użyciem narzędzi takich jak Burp Suite, OWASP ZAP i Postman. Nauczysz się identyfikować podatności w tokenach, testować uprawnienia użytkowników, wykrywać wycieki informacji wrażliwych i weryfikować limity szybkości zapytań.

1. Zainstaluj wymagane narzędzia do testowania: Postman, Burp Suite lub OWASP ZAP. Każde z nich oferuje inne możliwości — Postman jest najlepszy do szybkich testów, Burp Suite do głębokich skanów, ZAP do automatyzacji.

2. Rozpocznij od odkrycia API — zidentyfikuj wszystkie dostępne endpointy. Możesz użyć skanowania katalogów (gobuster), analizy ruchu w Burp Suite lub przejrzenia plików JavaScript aplikacji w poszukiwaniu definicji API.

3. Przetestuj autentykację i autoryzację. Wyślij żądania z nieprawidłowymi tokenami, wygasłymi tokenami i bez tokenów. Sprawdź, czy API prawidłowo odrzuca dostęp. Dla JWT testuj algorytm i spróbuj złamania klucza.

4. Waliduj dane wejściowe poprzez testowanie SQL injection, command injection i XXE. Wysyłaj złośliwe payload'y w parametrach zapytań i ciałach żądań, obserwując odpowiedzi serwera.

5. Sprawdź uprawnienia poziome i pionowe — spróbuj dostępu do zasobów innych użytkowników oraz do interfejsów administracyjnych zwykłym kontem. Prawidłowe API powinno zwrócić kod 403.

6. Zbadaj obsługę błędów i limity szybkości. Wyślij dużą liczbę żądań w krótkim czasie i sprawdź, czy serwer implementuje rate limiting. Przeanalizuj komunikaty błędów pod kątem wycieku informacji technicznych.