Door categorieën bladeren
Ontdekken
Fiverr Pro
Nederlands
$
USD
Ik voer een professionele rest- of graphql API beveiligingspenetratietest uit
Over deze dienst
Toch blijven de meeste ongetest. Ik ben een OSCP & CPTS gecertificeerde pentester die gespecialiseerd is in API-beveiliging. Ik test handmatig je REST of GraphQL API tegen de OWASP API Security Top 10.
WAT IK TEST:
- BOLA/IDOR: toegang tot resources van andere gebruikers
- - Broken Authentication: zwakke tokens, JWT-problemen, blootstelling van API-sleutels
- - Broken Function Level Authorization: admin-endpoints toegankelijk voor gebruikers
- - Onbeperkte resource consumptie: rate limiting, resource-uitputting
- - SSRF via API-parameters
- - Security Misconfiguration: uitgebreide foutmeldingen, debug-endpoints, CORS
- - Injectie: SQL, NoSQL, command injection via API-parameters
- - OData Injectie in enterprise/Microsoft API's
- OPLEVERINGEN:
- - Professioneel PDF VAPT rapport
- - CVSS scores per bevinding
- - PoC verzoeken (cURL/Postman) voor elke kwetsbaarheid
- - Remediatie begeleiding
- - Re-test inbegrepen (Standaard & Premium)
- NDA beschikbaar. Testen is niet-destructief. API's vormen het meest doelgerichte aanvaloppervlak in moderne apps
Veelgestelde vragen
Automatische vertaling
Wat heb je nodig om te beginnen?
Minimaal heb ik de API base URL en een testaccount nodig. Swagger/OpenAPI documentatie of een Postman collectie helpt, maar is niet vereist — ik kan endpoints handmatig enumereren.
Kun je onze productie API testen?
Ik kan dat doen, maar ik raad sterk een staging omgeving aan. Alle tests zijn niet-destructief — er worden geen data gewijzigd of verwijderd zonder expliciete toestemming.
Test je ook API's van mobiele apps?
Ja. Als je een Android/iOS app hebt, kan ik het onderliggende API-verkeer onderscheppen en testen. Neem contact met me op voordat je bestelt voor een aangepaste offerte.
Wat is OData injectie?
OData is een queryprotocol dat door veel enterprise API's wordt gebruikt. OData injectie stelt aanvallers in staat om filter/select queries te manipuleren om ongeautoriseerde data te verkrijgen — een kwetsbaarheid die ik regelmatig vind in professionele opdrachten.
Wordt GraphQL testen inbegrepen?
Ja. GraphQL-specifieke problemen (introspectie misbruik, batching aanvallen, nested query DoS, bypass authenticatie) worden behandeld in de Standaard en Premium pakketten.
Kun je een NDA ondertekenen?
Ja, voorafgaand aan elke opdracht.
Wat als ik meer dan 30 endpoints nodig heb?
Kies voor Premium of neem contact op voor een aangepaste offerte met jouw aantal endpoints.
