Bezpieczeństwo API testowane tak, jak robią to atakujący
REST, GraphQL i SOAP — testowane ręcznie pod kątem OWASP API Top 10. Znajdujemy BOLA i błędy uwierzytelniania, których skanery nigdy nie wychwycą.
Dla kogo?
- Platformy SaaS
- Fintech i bankowość
- Backendy dla aplikacji mobilnych
- Integracje B2B
- Architektury mikroserwisowe
Rezultaty
Pokrycie OWASP API Top 10
BOLA, broken authentication, broken property-level authorization, unrestricted resource consumption, mass assignment — wszystko testowane.
Ataki na logikę biznesową
Race conditions, replay attacks, obchodzenie workflow — błędy, które faktycznie trafiają do bug bounty.
Głęboka analiza uwierzytelniania
Słabości JWT, błędy konfiguracji OAuth, rotacja kluczy API, logika refresh token — cała warstwa tożsamości.
Rate limiting i DoS
Testujemy rate limiting, logikę blokowania kont i powierzchnię ataków ekonomicznego DoS.
Testowanie świadome schematu
Ingestion OpenAPI / GraphQL oznacza, że żaden endpoint nie zostaje pominięty.
Darmowy retest
Jeden darmowy retest w ciągu 30 dni — potwierdza poprawki i aktualizuje raport.
OWASP API Security + testy manualne
- 01
Zakres
Dokumentacja API, model uwierzytelniania, role użytkowników, konta testowe, endpointy poza zakresem — udokumentowane w Rules of Engagement.
- 02
Wykrywanie endpointów
Ingestion OpenAPI / Swagger, introspekcja GraphQL, fuzzing parametrów — nic nie umknie.
- 03
Manualna eksploitacja
BOLA, injection, obchodzenie uwierzytelniania, logika biznesowa — ręcznie zweryfikowane z PoC.
- 04
Raport i retest
Raport executive + techniczny w 5 dni roboczych. Darmowy retest w ciągu 30 dni.
Najczęstsze pytania
Potrzebujecie naszego schematu OpenAPI / GraphQL?
Testujecie GraphQL API?
Ile to trwa?
Testujecie staging czy produkcję?
Dowód na NIS2 / DORA?
Zaplanuj pentest API
Podziel się dokumentacją API lub schematem — w ciągu jednego dnia roboczego wrócimy z planem i ceną.