Пентест API и микросервисов

API — нервная система современных приложений. Даже если фронтенд закрыт, уязвимый API может раскрыть данные, позволить подделать транзакции или обойти авторизацию. Микросервисная архитектура добавляет сложный ландшафт: множество endpoint-ов, асинхронные очереди, сервис-to-service коммуникация и распределённая аутентификация.

Стоимость
Задать вопрос

Белый хакинг

Пентест

OSINT разведка

Этичный хакинг

Бизнес разведка

Аудит безопасности

Почему это важно для бизнеса

Уязвимости API часто не видны при классическом веб-пентесте. Они скрыты в поведении API (бизнес-логике), в схемах данных, в межсервисных доверительных отношениях (service-to-service), в механизмах аутентификации (OAuth2, JWT) и в инфраструктуре интеграций (CI/CD, registries, message brokers). Поэтому нужен специализированный подход — глубинный, многоуровневый и прикладной.

Discovery & inventory

  1. Сбор полного списка конечных точек (endpoints) из OpenAPI/Swagger/OpenAPI v3, GraphQL schema, gRPC reflection, Service Registry.
  2. Поиск скрытых/старых версий API, test-endpoints, staging/backup endpoints.
  3. Выявление API-gateway, ingress controllers, rate limiting policies, WAF.

Аутентификация и управление сессиями

  1. Проверка OAuth2 flows (authorization code, implicit, client credentials) — корректность redirect_uri, state checks, PKCE, scope validation.

  2. Тесты для JWT: подпись (HS vs RS), alg confusion (alg: none), key rotation, token expiration, refresh token abuse, signing key exposure.

  3. Cookie vs header auth: флаги Secure/HttpOnly/SameSite, CSRF для cookie-настроек.

  4. Replay attacks, token reuse, token binding, token revocation.

Авторизация и бизнес-логика (главный фокус)

  1. IDOR / Broken Object Level Authorization — подмена идентификаторов (IDs, UUIDs), mass assignment.

  2. Role based bypass — пробуем вызывать admin-операции с user-токеном; privilege escalation через chained calls.

  3. Field-level authorization — доступ к чувствительным полям в ответах (PII, PHI).

  4. Abuse of business rules — обход ограничений транзакций, double spend, изменение балансов, race conditions (concurrency) и rollback attacks.

Валидация входных данных и инъекции

  1. SQL / NoSQL Injection (SQLi, NoSQLi) через JSON-поля, ORM-параметры, filter выражения.

  2. Command injection, deserialization vulnerabilities (unsafe PHP/Python/Java deserialization), object-injection, prototype pollution (JS/Node).

  3. XML External Entity (XXE), XPath injection в случае XML APIs.

  4. Server-side template injection (SSTI) через темплейты, если API передаёт данные в шаблонизаторы.

Специфика GraphQL

  1. Introspection: раскрытие схемы и скрытых полей.

  2. Deep / complex queries DoS: absence of depth / complexity limits.

  3. Field-level authorization misses: чтение приватных полей при корректной схемной защите.

  4. Mutation abuse: комбинирование мутаций для обхода бизнес-логики.

  5. Batching & persisted queries misuse.

Специфика gRPC / protobuf

  1. Reflection service exposure (gRPC reflection) — динамическое discovery методов.
  2. Insecure channel (no TLS) или permissive TLS (weak ciphers).
  3. Exploitable proto definitions: optional fields, integer overflows, deserialization quirks.
  4. Metadata abuse (metadata headers used for auth).

API Gateway, WAF и edge-защита

  1. Bypass техники: chunked encoding, header smuggling (X-Forwarded-For manipulations), HTTP method tunneling.
  2. Misconfigurations in gateway rules, incorrect routing causing exposure of internal services.
  3. Inconsistent validation between gateway and backend services.

Rate limiting, quotas и DoS-векторы

  1. Missing throttling / inadequate rate limiting.
  2. Endpoint amplification — single request spawning many backend requests (cascade DoS).
  3. Resource-intensive queries (e.g., expensive DB joins, graph traversals).

Стоимость теста

Стоимость зависит от масштаба инфраструктуры, количества узлов и глубины проверки

Small API / microservice set

$5,000 – $8,000 (1–2 недели)

Medium (10–50 endpoints, ~3–10 микросервисов, REST + some GraphQL/gRPC)

$10,000 – $25,000 (2–4 недели)

Complex (большой микросервисный ландшафт, service mesh, message brokers, multi-team CI)

$25,000 – $75,000+ (4–8 недель).

Мы поможем подобрать план для вашего бизнеса

  • Discovery: Nmap, ngrep, dnsrecon, masscan (с осторожностью).
  • API tooling: Burp Suite, Postman, Insomnia, mitmproxy, HTTPie.
  • GraphQL: graphql-cli, gqlmap, apollo-tools, custom introspection scripts.
  • gRPC: grpcurl, evans, custom python/go clients built from proto.
  • Fuzzing: boofuzz, AFL-style for binary protocols, grammar-based JSON/XML fuzzers.
  • Static: Semgrep, SonarQube, Trivy for images, Snyk for dependencies.
  • Cloud & service checks: Pacu (AWS), ScoutSuite, Prowler.
  • Message broker checks: kafkacat, rabbitmqadmin.
  • CI/CD: scanning pipeline artifacts, scanning images in registry.
  • Custom tooling: internal scripts for token manipulation, race-condition orchestrators, controlled load generators.

Методология — что и как мы делаем (пошагово, с техникой)

Мы комбинируем автоматизацию и ручную экспертизу; не гоняемся за шумом — подтверждаем реальные эксплуатационные риски.

  • Scoping & Rules of Engagement — собираем ownership, определяем «crown jewels», scope: public endpoints, internal APIs, queues, registries, CI. Подписываем RoE/NDA.
  • Инвентаризация — получаем OpenAPI/Swagger, GraphQL schema, gRPC definitions (proto), access to service registry/console. Составляем карту эндпоинтов.
  • Recon — passive discovery (dns, subdomains, metadata endpoints), active discovery (fuzz endpoints, gRPC reflection).
  • Automated scanning — SAST/SCA for client libs, DAST for endpoints, SCA for images, fuzzing for JSON/XML inputs.
  • Manual deep-dive — ручная проверка авторизации, chained calls, business-logic abuse, race conditions (concurrency tests), protocol misuse.
  • Protocol-aware testing — GraphQL introspection & query crafting; gRPC calls with malformed protobuf payloads; WebSocket API checks; AMQP/Kafka topic tests.
  • Service-to-service attack paths — simulate initial access (compromised developer token, leaked key), then pivot using service accounts, impersonation, cloud role assumption.
  • Detection & telemetry testing — trigger attacks and verify SIEM/EDR reactions, time to detect, alert quality.
  • Reporting & remediation consulting — приоритеты по CVSS + business impact, конкретные патчи, prescriptive code samples (how to fix).
  • Retest & verification — проверка закрытия уязвимостей и подтверждение эффективности исправлений.

Что получает клиент (Deliverables)

  • Executive Summary — краткая оценка риска для руководства (impact, likelihood, recommended remediation timeline).

  • Полный технический отчёт — детальные findings, PoC-описания (без утечки конфиденциальных данных), команды/requests для воспроизведения, CVSS/CWE mapping.

  • Attack Path Map — визуализация, как из одной слабости можно добраться до «crown jewels».

  • Priority Fix List — P0 / P1 / P2 / P3 с оценкой effort и business impact.

  • Code-level remediation snippets — примеры безопасной валидации, правильной политики CORS, secure JWT handling, rate limiting patterns.

  • Pipeline & IaC patches — пример исправлений для Terraform / Kubernetes manifests / Dockerfiles.

  • Detection improvement plan — какие события логировать, какие correlation rules создать, пример playbooks для SOC.

  • Retest report — подтверждение закрытия уязвимостей.

Часто задаваемые вопросы

Нужно ли давать доступ к OpenAPI / proto файлам?

Да — наличие спецификаций ускоряет и углубляет проверку. Но можем работать и в black-box режиме, тогда нужно больше времени и объёма ручной разведки.

Можете ли вы помочь с исправлением (remediation)?

Да — мы можем предоставить код-пример, патч, либо работать «по часам» и внедрить исправления совместно с вашей командой.

Убедитесь ли вы, что тест не повредит данным?

Да — все destructive действия согласуются заранее. Мы не выполняем операции, которые могут потерять клиентские данные, без явного согласия.

Как быстро нужно исправлять найденные уязвимости?

Критические (exposed credentials, RCE, mass data exfiltration) — в 24–72 часа. Высокие — в 1–2 недели. Мы помогаем с приоритетизацией.

Как вы учитываете соответствие регуляторике (GDPR, PCI)?

Наш отчёт включает раздел compliance mapping: какие findings влияют на GDPR/PCI/ISO, и рекомендации для аудиторов.

logo3

Мы работаем по всему миру

Security Lab Pro - это не просто организация, которая оказывает услуги в области информационной безопасности и разработки. Прежде всего это сообщество профессионалов и единомышленников, которые стараются изменить мир в лучшую сторону. Мы не просто оказываем услуги в сфере разработки и белого хакинга, мы внедряем передовые технологии, чтобы сделать мир умнее и безопаснее.

Group 107

Наш email

support@securitylab.pro

Group 105

Наши офисы

Минск, Кедышко 26б Республика Беларусь

    Отправить сообщение