Ücretsiz Teklif Alın

Sepetinizde ürün bulunmuyor.

API ve Servis Güvenlik Testleri

Pentest Hizmeti > API ve Servis Güvenlik Testleri
GET /api/v1/users/105 HTTP/1.1 Host: api.target.com Authorization: Bearer eyJhbGciOiJIUzI1... HTTP/1.1 200 OK Content-Type: application/json { "id": 105, "role": "admin", "api_key": "***HIDDEN***" }

API ve Web Servis
Güvenlik Testleri

Uygulamalarınızın "kalbi" olan API'leri koruyun. REST, SOAP ve GraphQL servislerinizdeki yetkilendirme hatalarını (BOLA/IDOR) ve veri sızıntılarını tespit ediyoruz.

API Analizi Talep Et JSON, XML, GraphQL Destekli

Hangi API Mimarlarını Test Ediyoruz?

Modern mikroservis mimarisinden legacy (eski) sistemlere kadar tüm uç noktaları (endpoints) analiz ediyoruz.

🔗

REST API

Günümüzün en yaygın standardı. JSON tabanlı veri akışı, HTTP metodları (GET, POST, PUT, DELETE) ve JWT/OAuth token güvenliği test edilir.

✉️

SOAP Servisleri

XML tabanlı kurumsal servisler. WSDL analizi, XML Injection ve XXE (XML External Entities) zafiyetlerine odaklanılır.

⚛️

GraphQL

Tek noktadan sorgulama yapısı. Introspection sorguları, derinlik limitleri (Depth Limiting) ve yetkisiz veri çekme testleri yapılır.

Görünmez Tehlike: BOLA (IDOR)

API güvenliğindeki en büyük risk: Broken Object Level Authorization (BOLA).

Saldırgan, sadece URL'deki ID numarasını değiştirerek (Örn: /user/100 yerine /user/101) başkasının verisine erişebilir. Geleneksel güvenlik duvarları (WAF) bu mantıksal hatayı yakalayamaz. Biz manuel testlerle bunları buluyoruz.

  • ✓ Yetkisiz Veri Erişimi Tespiti
  • ✓ Mass Assignment (Toplu Atama) Kontrolü
  • ✓ Rate Limiting (Hız Sınırlama) Testi
response.json
"user_id": 1025,
"username": "ahmet_yilmaz",
"role": "customer",
// HATA: Gereksiz Hassas Veri İfşası
"credit_card": "4500-****-****-1234",
"token": "eyJh... (LEAKED)"

*API'ler genellikle frontend'in göstermediği verileri de arka planda sızdırır.

OWASP API Top 10 Standartları

API1:2023
Broken Object Level Authorization

Başkasına ait nesnelere/verilere yetkisiz erişim.

API2:2023
Broken Authentication

Token çalınması, zayıf şifreleme veya JWT hataları.

API3:2023
Broken Object Property Level Auth

Kullanıcının görmemesi veya değiştirmemesi gereken alanlara erişmesi.

API4:2023
Unrestricted Resource Consumption

Rate limiting (hız sınırı) eksikliği nedeniyle DoS saldırısı riski.

API5:2023
Broken Function Level Authorization

Normal kullanıcının Admin API endpointlerine erişebilmesi.

API6:2023
Unrestricted Access to Sensitive Flows

İş akışlarının (örn: bilet alma) otomasyonla suistimal edilmesi.

Kullandığımız API Güvenlik Araçları

Burp Suite Pro Postman SoapUI OWASP ZAP Kiterunner Arachni

API Pentest SSS

Test için API dokümantasyonu (Swagger/WSDL) gerekli mi?
Evet, "White Box" veya "Gray Box" testlerde Swagger, Postman Collection veya WSDL dosyası paylaşmanız testin kapsamını ve başarısını %100 artırır. Dokümansız (Black Box) testlerde sadece keşfedebildiğimiz endpointlere bakabiliriz.
API testi veritabanımı bozar mı?
Testlerimizi genellikle 'Staging' veya 'Test' ortamında yapmayı tercih ederiz. Eğer 'Production' ortamında yapılacaksa, veritabanına zarar vermeyecek (Non-Destructive) okuma odaklı testler uygularız.
Mobil uygulama API'leri de buna dahil mi?
Evet. Mobil uygulamaların arkasındaki backend servisleri de API Pentest kapsamına girer. Mobil uygulama testinden ayrı veya birlikte değerlendirilebilir.

API'leriniz Veri Sızdırıyor Olabilir

En zayıf halkanız API'leriniz olmasın. Profesyonel analiz ile güvenliği sağlayın.

API Testi Başlat
Size nasıl yardımcı olabiliriz?
WhatsApp Destek Bizi Arayın
E-posta Gönderin