Ver categorias
Explorar
Fiverr Pro
Português
$
USD
Eu farei um teste de penetração profissional de segurança de API rest ou graphql
Testador de penetração certificado em OSCP CPTS
Tester de penetração certificado OSCP e CPTS na Privacy Ninja (empresa profissional de VAPT). Faço avaliações manuais de segurança de aplicativos web, API e WordPress — não uso scanner.
O QUE VOCÊ RE...
Sobre este Serviço
no entanto, a maioria passa sem ser testada. Sou um testador de penetração certificado OSCP & CPTS, especializado em segurança de API. Testo manualmente sua API REST ou GraphQL contra o Top 10 de Segurança de API da OWASP.
O QUE EU TESTO:
- BOLA/IDOR: acesso a recursos de outros usuários
- - Autenticação Quebrada: tokens fracos, problemas com JWT, exposição de chaves de API
- - Autorização de nível de função quebrada: endpoints de administrador acessíveis a usuários
- - Consumo de recursos não restrito: limitação de taxa, exaustão de recursos
- - SSRF via parâmetros de API
- - Configuração de segurança incorreta: erros detalhados, endpoints de debug, CORS
- - Injeção: SQL, NoSQL, injeção de comandos via parâmetros de API
- - Injeção OData em APIs empresariais/Microsoft
- ENTREGÁVEIS:
- - Relatório profissional PDF VAPT
- - pontuações CVSS por vulnerabilidade
- - solicitações de PoC (cURL/Postman) para cada vulnerabilidade
- - orientações de remediação
- - reteste incluso (Padrão & Premium)
- NDA disponível. Os testes são não destrutivos. APIs são a superfície de ataque mais visada em aplicativos modernos
Perguntas frequentes
Tradução automática
O que você precisa para começar?
No mínimo, preciso da URL base da API e uma conta de teste. Documentação Swagger/OpenAPI ou uma coleção Postman ajudam, mas não são obrigatórios — posso enumerar endpoints manualmente.
Você pode testar nossa API de produção?
Posso, mas recomendo fortemente um ambiente de staging. Todos os testes são não destrutivos — nenhum dado será modificado ou excluído sem consentimento explícito.
Você testa APIs de aplicativos móveis?
Sim. Se você tiver um app Android/iOS, posso interceptar e testar o tráfego de API subjacente. Entre em contato antes de pedir um serviço para um orçamento personalizado.
O que é injeção OData?
OData é um protocolo de consulta usado por muitas APIs empresariais. Injeção OData permite que atacantes manipulem consultas de filtro/selecção para acessar dados não autorizados — uma vulnerabilidade que encontro frequentemente em trabalhos profissionais.
A avaliação de GraphQL está incluída?
Sim. Problemas específicos de GraphQL (abuso de introspecção, ataques de batching, DoS de consultas aninhadas, bypass de autenticação) são cobertos nos pacotes Padrão e Premium.
Você pode assinar um NDA?
Sim, antes de cada trabalho.
E se eu precisar de mais de 30 endpoints?
Escolha o pacote Premium ou envie uma mensagem para um orçamento personalizado com sua quantidade de endpoints.
