blog posts

API Pentest


Le développement de logiciels n’est plus ce qu’il était. Auparavant c’était de grosses boites noires qui effectuaient le travail alors qu’aujourd’hui les logiciels sont segmentés en micro-services qui sont beaucoup plus facile à développer, tester gérer et sont en mesure de grossir sur demande. Généralement, ces applications offrent des API (Application Programming Interface) publiques afin qu’on puisse les utiliser facilement et les intégrer à d’autres outils ou logiciels.

À l’instar d’autres produits numériques, ces API représentent une surface ouverte prompte aux différentes formes d’attaque. Les entreprises qui se soucient de la sécurité doivent absolument s’assurer que ces API font partie des tests de sécurité tels que les PenTests, Audit, évaluation des risques, des vulnérabilités etc. Toutefois, de par leur nature, le pentest peut se prouver plus complexe puisque les outils habituels ne s’adaptent pas nécessairement très bien de par leur surface modulaire. Il faut éviter de retourner à des scans manuels de Pentest et des scripts ce qui aura pour effet de réduire la vélocité des Pentests et laissera des risques non découverts.

La méthode a privilégier est plutôt de bien comprendre les outils à la disposition de l’équipe et d’évaluer s’il y a des déficit dans le scan des micro-services, connecteurs B2B et les API mobiles. Bien qu’il soit primordial de scanner ces surfaces d’attaques, il est encore plus important des découvrir. En effet, ces API n’utilisent pas nécessairement le protocole HTTP et sont souvent découplés. Ils sont souvent bâtis sur des Framework tels que gRPC, Thrift etc. Afin de faire un audit de qualité il est important d’adapter nos outils de Pentest pour faire des scans non authentifiés et authentifiés.

Il faut donc aussi penser à obtenir le jeton d’authentification ou les informations d’identification et de s’assurer de la sécurité de ces sources d’AAA.

En résumé, les tests de micro-services et d’API s’intègrent dans vos processus de sécurité et afin d’augmenter le ROI sur les investissements déjà fait, il est important de faire les ajustements nécessaires tant au niveau des méthodologies que des outils.

MMO Techno se démarque de par son approche holistique et de qualité.
Contactez-nous pour en savoir d’avantage.

EN