Parcourir les catégories
Explorer
Fiverr Pro
Français
$
USD
Je réaliserai un test de pénétration professionnel de la sécurité de l'API rest ou graphql
Testeur d'intrusion certifié OSCP CPTS
Testeur de pénétration certifié OSCP et CPTS chez Privacy Ninja (société professionnelle de VAPT). Je réalise des évaluations de sécurité manuelles pour les applications web, API et WordPress — pas de...
À propos de ce service
pourtant, la plupart restent non testés. Je suis un testeur de pénétration certifié OSCP & CPTS spécialisé dans la sécurité des API. Je teste manuellement votre API REST ou GraphQL selon le Top 10 de la sécurité API de l'OWASP.
CE QUE JE TESTE :
- BOLA/IDOR : accès aux ressources d'autres utilisateurs
- - Authentification cassée : tokens faibles, problèmes JWT, exposition de clé API
- - Autorisation de niveau fonction cassée : points de terminaison administrateur accessibles aux utilisateurs
- - Consommation de ressources non limitée : limitation de débit, épuisement des ressources
- - SSRF via les paramètres API
- - Mauvaise configuration de sécurité : erreurs détaillées, points de débogage, CORS
- - Injection : SQL, NoSQL, injection de commandes via les paramètres API
- - Injection OData dans les API d'entreprise/Microsoft
- LIVRABLES :
- - Rapport VAPT PDF professionnel
- - Scores CVSS par vulnérabilité
- - Demandes de PoC (cURL/Postman) pour chaque vulnérabilité
- - Conseils de remédiation
- - Re-test inclus (Standard & Premium)
- NDA disponible. Les tests sont non destructifs. Les API sont la surface d'attaque la plus ciblée dans les applications modernes
FAQ
Traduction automatique
De quoi avez-vous besoin pour commencer ?
Au minimum, j'ai besoin de l'URL de base de l'API et d'un compte de test. La documentation Swagger/OpenAPI ou une collection Postman sont utiles mais pas obligatoires — je peux énumérer les points de terminaison manuellement.
Pouvez-vous tester notre API en production ?
Je peux, mais je recommande fortement un environnement de staging. Tous les tests sont non destructifs — aucune donnée ne sera modifiée ou supprimée sans consentement explicite.
Testez-vous les API des applications mobiles ?
Oui. Si vous avez une application Android/iOS, je peux intercepter et tester le trafic API sous-jacent. Contactez-moi avant de commander pour un devis personnalisé.
Qu'est-ce que l'injection OData ?
OData est un protocole de requête utilisé par de nombreuses API d'entreprise. L'injection OData permet aux attaquants de manipuler les requêtes de filtre/sélection pour accéder à des données non autorisées — une vulnérabilité que je trouve régulièrement lors de missions professionnelles.
Le test de GraphQL est-il inclus ?
Oui. Les problèmes spécifiques à GraphQL (abus de l'introspection, attaques par lot, DoS de requêtes imbriquées, contournement de l'authentification) sont couverts dans les packages Standard et Premium.
Pouvez-vous signer un NDA ?
Oui, avant chaque mission.
Que faire si j'ai besoin de plus de 30 points de terminaison ?
Choisissez Premium ou contactez-moi pour un devis personnalisé avec votre nombre de points de terminaison.
