Por que a segurança da API é importante?

A segurança da API envolve a segurança dos dados transferidos por meio de APIs, normalmente entre clientes e servidores conectados por redes públicas.

As empresas usam APIs para conectar serviços e transferir dados. Uma API comprometida, exposta ou hackeada pode expor dados pessoais, informações financeiras ou outros dados confidenciais. Portanto, a segurança é uma consideração crítica ao projetar e desenvolver RESTful e outras APIs.

As APIs são vulneráveis ​​a falhas de segurança em sistemas backend. Se os invasores comprometerem o provedor de API, eles poderão comprometer todos os dados e funcionalidades da API. As APIs também podem ser exploradas por meio de solicitações maliciosas, se a API não estiver devidamente codificada e protegida.

Por exemplo, um ataque de negação de serviço (DoS) pode colocar um endpoint de API on-line ou degradar significativamente o desempenho. Os invasores podem abusar das APIs, coletando dados ou excedendo os limites de uso. Atacantes mais sofisticados podem injetar código malicioso para realizar operações não autorizadas ou comprometer o back-end.

Com a popularidade dos microsserviços e das arquiteturas sem servidor, quase todos os aplicativos empresariais dependem de APIs para sua funcionalidade básica. Isso torna a segurança da API uma parte essencial da segurança da informação moderna.

OWASP API Security

• https://owasp.org/www-project-api-security/

Pentesting Resources 

• https://github.com/m14r41/PentestingEverything/tree/main/API%20Pentesting
• https://medium.com/geekculture/rest-api-testing-github-postman-62ba105e550e
• https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/web-api-pentesting
• https://www.vaadata.com/blog/api-penetration-testing-objective-methodology-black-box-grey-box-and-white-box-tests/
• https://github.com/arainho/awesome-api-security

Check List

• https://github.com/shieldfy/API-Security-Checklist
• https://www.apisec.ai/blog/api-security-checklist
• https://www.getastra.com/blog/api-security/api-security-checklist/
• https://salt.security/blog/api-security-checklist
• https://www.indusface.com/blog/api-penetration-testing-checklist/
• https://hariprasaanth.notion.site/WEB-APPLICATION-PENTESTING-CHECKLIST-0f02d8074b9d4af7b12b8da2d46ac998

Course

• API University: https://www.apisecuniversity.com/

Tools

• Burp Suite: https://portswigger.net/burp/communitydownload
• Postman: https://www.postman.com/downloads/
• Kiterunner: https://github.com/assetnote/kiterunner
• Dirb: https://www.kali.org/tools/dirb/
• Gobuster: https://www.kali.org/tools/gobuster/

WordLists

• Assetnode – (httparchive_apiroutes_2024_01_28.txt): https://wordlists.assetnote.io/
• Seclist  : https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/api

Vulnerable APIs

• https://github.com/OWASP/crAPI
• https://github.com/erev0s/VAmPI
• https://github.com/roottusk/vapi

Blog

• https://danaepp.com/

Credits

• Madhurendra K. on Linkedin