API pentesten

Test uw API’s en de onderliggende systemen op kwetsbaarheden met onze API-pentesten. Anovum biedt API-pentestingdiensten die u helpen uw API’s te beveiligen tegen aanvallen van buitenaf, die proberen deze te manipuleren en zo inbreuken op de vertrouwelijkheid, integriteit of beschikbaarheid van uw gegevens en systemen te veroorzaken. Structuur binnen deze pentesten bieden we door gebruik te maken van het MIAUW-framework.

Boek nu uw adviesgesprekDownload hand-out over pentesting
Wat kunt u nog meer testen?

Scopevoorbeelden

Tijdens een API-pentest kunnen verschillende soorten API’s worden getest, afhankelijk van de omgeving en de functionaliteiten die ze ondersteunen. Hier zijn enkele voorbeelden van API’s die vaak binnen de scope van een pentest vallen:

  • REST API’s
  • SOAP API’s
  • GraphQL API’s
  • WebSocket API’s

Deze verschillende API-typen kunnen elk hun eigen specifieke kwetsbaarheden hebben, en Anovum past de pentest aan om een grondige analyse van de beveiliging van de betreffende API’s uit te voeren.

  • Third-party API’s
  • Payment API’s
  • IoT API’s

Welke aanvalscenario’s zijn mogelijk voor API pentesten?

Het meest voorkomende aanvalsscenario voor het testen van API’s dat Anovum hanteert, is een combinatie van Black Box en Grey Box testing. Hieronder geeft Anovum een illustratief voorbeeld van beide aanvalsscenario’s. Tijdens een intakegesprek worden de specifieke wensen van de klant in kaart gebracht, zodat Anovum het meest geschikte scenario kan selecteren voor het testen van de API en de onderliggende systemen.

Black Box

Met minimale informatie wordt een eerste beeld gevormd van de kwetsbaarheden in de API. Daarbij wordt onderzocht of het mogelijk is om API-verzoeken te versturen zonder de vereiste authenticatie. Daarnaast wordt door middel van open bronnenonderzoek (OSINT) zoveel mogelijk relevante informatie verzameld om potentiële kwetsbaarheden te identificeren en te exploiteren.

Grey Box

Het testen van de API vanuit een geautoriseerd perspectief is net zo cruciaal als het testen vanuit een niet-geautoriseerde omgeving. In dit scenario worden de acties van een kwaadwillende nagebootst die toegang heeft verkregen tot een geldig API-token, bijvoorbeeld via een phishingaanval of social engineering. Dit scenario helpt bij het beantwoorden van vragen zoals: Welke kwetsbaarheden zijn aanwezig? Is het mogelijk om meer gegevens op te vragen dan bedoeld of API-verzoeken uit te voeren die buiten het toegangsrecht van de token vallen?

White Box

Bij White Box testing van de API wordt de broncode van de API zelf grondig geanalyseerd, wat diepgaand inzicht geeft in de werking en mogelijke kwetsbaarheden. Deze testmethode stelt ons in staat om kwetsbaarheden op te sporen die anders verborgen blijven, zoals foutieve implementaties van authenticatie, autorisatie en gegevensvalidatie.

Door volledige toegang tot de broncode kunnen vragen worden beantwoord zoals: Welke kwetsbaarheden zitten in de API’s interne logica? Zijn er manieren om beveiligingsmaatregelen te omzeilen of gevoelige gegevens bloot te leggen?

Industriestandaarden penetratie testen

Anovum gebruikt de OWASP Web Security Testing Guide (WSTG) en de OWASP Application Security Verification Standard (ASVS) Level 1 als basis voor het pentesten van API’s. Deze standaarden garanderen dat de pentest grondig en volgens de juiste maatstaven wordt uitgevoerd. Transparantie in de uitvoering van de pentest vinden wij zeer belangrijk. Daarom voegen we bij diverse penteststandaarden een checklist toe aan de rapportage, zodat u precies kunt zien welke controles zijn uitgevoerd, welke niet konden worden uitgevoerd, en welke niet van toepassing waren.

Voorbeeldrapportage van een API pentest

Anovum heeft een voorbeeldrapportage (beschikbaar in zowel Nederlands als Engels) van een black box pentest. In deze rapportage heeft Anovum een pentest uitgevoerd op een fictieve omgeving, waarbij de kwetsbaarheden helder en inzichtelijk zijn gemaakt.
Vraag de voorbeeldrapportage aan

Welke systemen kunt u laten testen door de experts van Anovum?

De onderzoekers van Anovum controleren onder andere de technische weerbaarheid van (web)applicaties, websites, IT- en OT-infrastructuren, API-koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten testen, dan gaat Anovum graag met u in gesprek om de mogelijkheden te bespreken.

BlackBox pentest

Met beperkte informatie zal Anovum een gedetailleerd overzicht creëren van kwetsbaarheden in de publiek toegankelijke IT-infrastructuur. Door middel van open bronnen onderzoek (OSINT) wordt zoveel mogelijk informatie verzameld om potentiële kwetsbaarheden op te sporen.

White Box pentest

Het testen van de interne infrastructuur is bij Anovum minstens zo belangrijk als het testen van de externe omgeving. In dit scenario wordt nagebootst wat een kwaadwillende aanvaller zou kunnen doen als ze toegang krijgen tot het interne netwerk, bijvoorbeeld door middel van een phishing- of social engineering-aanval. We onderzoeken daarbij welke kwetsbaarheden aanwezig zijn en of het mogelijk is om de privileges te verhogen tot beheerdersrechten.

Wat is de OWASP WSTG standaard?

De OWASP Web Security Testing Guide (WSTG) is een uitgebreide handleiding voor het testen van de beveiliging van webapplicaties. Het biedt een gestructureerde aanpak om kwetsbaarheden in webapplicaties te identificeren en te analyseren. Anovum gebruikt de OWASP WSTG als standaard voor het uitvoeren van pentests op webapplicaties, zodat onze klanten verzekerd zijn van een grondige en gestandaardiseerde beveiligingstest.

Wat is de tijdsduur van een pentest?

De duur van een pentest bij Anovum is sterk afhankelijk van de complexiteit van de te testen omgeving en de gemaakte afspraken met de opdrachtgever over de in te zetten aanvalsscenario’s. Heeft u een specifieke omgeving die u wilt laten testen, dan gaan wij graag met u in gesprek om de mogelijkheden te bespreken.

Wat is de PTES standaard?

De implementatie van de Penetration Testing Execution Standard (PTES) standaard bij Anovum bestaat uit verschillende hoofdelementen die alle aspecten van een penetratietest omvatten.

Dit begint met de initiële communicatie en de motivatie achter het uitvoeren van de pentest. Vervolgens worden de fasen van informatieverzameling en

dreigingsmodellering doorlopen, waarin de testers achter de schermen werken om een dieper inzicht in de organisatie te krijgen. Daarna worden kwetsbaarheden onderzocht, gevolgd door exploitatie en post-exploitatie, waarbij technische expertise wordt gecombineerd met zakelijk inzicht. Tot slot wordt het gehele proces vastgelegd in een rapportage die op een klantgerichte manier de meest waardevolle inzichten biedt.