Dracosec Research Limited Logo

保護您對外開放的每個端點

無論您運行的是公開的 REST API、內部的 GraphQL 閘道、gRPC 微服務,還是面向合作夥伴的 Webhook,每個端點都是潛在的入侵切入點。我們的測試不止於表層掃描,更會以人手方式深入探測物件層級的存取、權杖處理、流量限制,以及業務邏輯遭濫用的方式。

每次測試都會針對您的系統架構及威脅模型量身界定範圍。我們會在持有及不持有有效憑證的情況下,逐一測試每種角色,從而準確證明攻擊者在各個權限層級可以接觸到哪些資料和操作。

您將獲得一份可供開發人員直接使用的報告,內含可重現的概念驗證請求、嚴重程度評級,以及對應至您的審計師和客戶所重視標準的修復指引。

API Penetration Testing

我們的 API 滲透測試方法論

一套結構化、以標準為本的工作流程,結合自動化探測與深入的人手測試,並符合滲透測試執行標準(PTES)。

01

範圍界定與規格審查

在測試開始前,我們會匯入您的 OpenAPI/Swagger、GraphQL 結構描述或 Postman 集合,議定測試流程,並梳理每一個有文件記錄的端點。

02

探測與列舉

以主動及被動方式探測隱藏的端點、參數、API 版本及影子 API,建立真實攻擊介面的完整全貌。

03

身份驗證與工作階段測試

我們會針對權杖的簽發與驗證、JWT 漏洞、OAuth 2.0 及 API 金鑰處理、工作階段固定攻擊,以及對憑證填充攻擊的抵禦能力進行測試。

04

授權測試

以逐個角色、逐個物件的系統化方式進行存取控制測試,找出物件層級(BOLA)、功能層級及屬性層級的授權缺陷。

05

注入攻擊與輸入驗證

測試 SQL、NoSQL、命令及 SSRF 注入、大量賦值、不安全的反序列化,以及結構描述驗證繞過等漏洞。

06

業務邏輯與濫用情境

以人手方式利用工作流程缺陷、流量限制與資源消耗濫用,以及反映真實攻擊者行為的串連式漏洞。

07

報告與修復後複測

按優先次序排列的發現結果,附有可重現的證據及修復指引,並提供一次複測以驗證您的修復成效。

OWASP API 安全風險前十名(2023)覆蓋範圍

每次測試都會對現行 OWASP API 安全風險前十名的全部十個類別提供明確且有文件記錄的覆蓋,讓您能向審計師和客戶證明合規性。

API1

API1:2023 物件層級授權失效

我們會透過在各個角色及端點操控資源識別碼,驗證使用者僅能存取其擁有的物件。

API2

API2:2023 身份驗證失效

測試薄弱的權杖生成、缺失的驗證、憑證填充,以及有缺陷的密碼或金鑰復原流程。

API3

API3:2023 物件屬性層級授權失效

偵測過度的資料外洩及大量賦值,即 API 回傳或接受使用者本不應控制的屬性。

API4

API4:2023 不受限的資源消耗

探測缺失的流量限制、分頁濫用及高成本操作,這些漏洞可導致阻斷服務攻擊及帳單費用暴增。

API5

API5:2023 功能層級授權失效

確認管理性及具特權的功能無法被低權限或匿名使用者調用。

API6

API6:2023 不受限地存取敏感業務流程

評估關鍵工作流程在缺乏足夠反自動化控制的情況下,是否可被大規模自動化或濫用。

API7

API7:2023 伺服器端請求偽造(SSRF)

測試會擷取遠端資源的端點,找出可觸及內部服務及雲端中繼資料的 SSRF 漏洞。

API8

API8:2023 安全設定錯誤

審查 CORS 設定、過於詳細的錯誤訊息、缺失的安全標頭、預設設定及未修補的元件。

API9

API9:2023 資產庫存管理不當

搜尋已棄用、無文件記錄及影子的 API 版本與主機,這些都會擴大攻擊介面。

API10

API10:2023 不安全地取用 API

評估您的 API 如何信任及處理來自第三方和上游服務的資料。

我們的測試範疇

  • REST 及 JSON API
  • GraphQL 端點及內省查詢
  • gRPC 及 Protocol Buffers 服務
  • SOAP 及 XML 網絡服務
  • WebSocket 及即時 API
  • Webhook 及回呼處理程序
  • OAuth 2.0 及 OpenID Connect 流程
  • JWT 及 API 金鑰驗證
  • 流動應用程式及單頁應用程式後端
  • 第三方及合作夥伴整合

標準與框架

  • OWASP API 安全風險前十名(2023):逐個類別的完整覆蓋。
  • OWASP ASVS:應用程式安全驗證標準(ASVS)控制項。
  • OWASP WSTG:網絡安全測試指南(WSTG)技術。
  • PTES:滲透測試執行標準(PTES)工作流程。

您將獲得的成果

  • 供決策者參考的行政摘要
  • 附有嚴重程度評級的技術性評估結果
  • 可重現的概念驗證請求
  • 已覆蓋 OWASP API 前十名的評估
  • 角色與端點存取控制對照表
  • 按優先次序排列的修復指引
  • 可供開發人員直接採用的修復建議
  • 複測以驗證修復的效果

為何符合標準的測試如此重要

可證明的合規性

對應至公認標準的覆蓋範圍,為您應對 SOC 2、ISO 27001、PCI DSS 及客戶安全問卷提供有力的佐證。

一致且可重複的結果

以標準為本的方法論意味著每次測試都全面且可跨時間比較,讓您能追蹤自身安全態勢的持續改善。

超越自動化掃描

掃描工具無法理解您的業務邏輯或授權模型。以人手進行、以標準為本的測試,能找出它們遺漏的高影響漏洞。

便於開發人員執行

各項發現均連結至具體的控制項及可重現的請求,讓您的工程師能迅速修復問題並驗證成效。

準備好保護您的 API 了嗎?

與我們的團隊聯絡,商討一次涵蓋前十名 OWASP API 安全風險及 貴公司所依循的標準、範圍明確的 API 滲透測試。

預約諮詢