Web Servisi / API Güvenlik Test Hizmeti
Kurumsal API ve web servislerinizin güvenlik değerlendirmesi
Kuruluşunuzun bizlere belirtmiş olduğunuz kapsam dâhilindeki web servislerinin veya uygulamalara ait API'lerin; farklı kullanıcı profilleriyle zafiyetlerin tespiti, manuel yöntemlerle denenmesi, erişim çalışmaları, analiz edilmesi, bulguların çıktı alınarak önerilerinin raporlanması ve hizmet kapsamında talep edildiğinde doğrulanması faaliyetlerini de içeren güvenlik test hizmetidir. Securesys API güvenliğinize yönelik testleri gerçekleştirir ve TSE Standartlarında raporlarını sunar.
- OWASP API Security Top 10 kapsamı: BOLA/IDOR, kimlik & oturum, yetkilendirme, rate limiting, vb.
- Kimlik doğrulama akışları (JWT/OAuth2/OIDC), token ömrü, yenileme ve iptal mekanizmaları.
- Yetki modeli (RBAC/ABAC), uç bazlı kural setleri ve fonksiyon/nesne seviyesinde yetki testleri.
- Girdi/doğrulama: şema doğrulama (OpenAPI/Swagger), mass assignment, tip ve sınır testleri.
- İletişim güvenliği: TLS yapılandırmaları, güvenli başlıklar (CORS, CSP), HSTS, zayıf şifreleme kontrolleri.
- Kaynak yönetimi: rate limiting, throttling, boyut/süre kotaları ve DoS’e dayanıklılık.
- Hata ve günlükleme: ayrıntılı hata sızıntıları, iz kayıtlarının bütünlüğü ve alarm mekanizmaları.
- GraphQL/REST spesifik kontroller: aşırı sorgu derinliği, batching, alan bazlı filtreleme.
- 3. parti entegrasyonlar ve gizli anahtarların (API key/secret) yönetimi.