WAF'ınız Yeterli Değil.
API Katmanında Kanıtlanmış Ofansif Doğrulama
REST, GraphQL, SOAP, gRPC ve WebSocket API'lerinizi sadece OWASP API Top 10 listesiyle değil, gerçek saldırı zincirleriyle test ediyoruz. BOLA, Mass Assignment ve Broken Function Level Auth gibi scanner'ların göremediği zafiyetleri kanıtlı olarak raporluyoruz.
Kimler İçin Tasarlandı?
- Müşteri verilerini (PII) ve ödeme akışlarını API üzerinden yöneten Fintech ve Bankacılık uygulamaları.
- 3rd-party entegrasyonlar ve microservice mimarisi kullanan SaaS platformları.
- PSD2, Open Banking veya PCI-DSS uyumu gerektiren şirketler.
Hedef API Tehdit Yüzeyi
Otomatik araçlar yetkilendirme mantığını anlayamaz. Uzmanlarımız tam yığın API sızma testi yapar:
Kanıt Odaklı API Test Metodolojisi
API Keşfi
Swagger/OpenAPI şemaları, WSDL dosyaları, gRPC proto tanımları, gizli endpointler ve shadow API'ler haritalandırılır.
Yetki Analizi
JWT yapıları, OAuth akışları ve role-based access control (RBAC) sistematik olarak kırılmaya çalışılır.
Exploit & Kanıt
Bulunan her zafiyet gerçek bir saldırı senaryosuyla valide edilir ve PoC olarak raporlanır.
Yama & Retest
Geliştirme ekibinize remediation snippetları sağlanır ve yamalar retest ile doğrulanır.
Tipik API Exploit Çıktıları
- Broken Object-Level Authorization (BOLA)Normal kullanıcı hesabıyla /api/v1/users/OTHER_USER_ID endpointine erişerek başka müşterinin tüm PII verisini çekme.
- Mass Assignment → Admin PrivilegePUT /profile requestinde gizli 'role' alanını 'admin' olarak set ederek sistemde tam yönetici yetkisi elde etme.
- GraphQL Introspection LeakAçık bırakılmış GraphQL introspection endpointiyle tüm internal schema ve mutation'ları keşfetme.
Teslimat (Deliverables)
Sadece bulgu listesi değil; her zafiyet için çalıştırılabilir PoC, Business Impact skoru ve geliştirici dostu remediation kodu teslim ediyoruz.
https://api.target.com/v1/admin/users
[!] 200 OK — Full user list returned.
[+] BOLA confirmed. Remediation: Implement object-level authz middleware.