Пенетрационное тестирование API — практическая проверка, которая выявляет уязвимости на уровне аутентификации, авторизации, логики и конфиденциальности данных. Ключевой инсайт: для большинства команд достаточно сочетания Burp Suite (профессиональный фреймворк) и OWASP ZAP (бесплатный сканер) плюс целевые ручные проверки для auth и IDOR.
Статья была полезной?
Pentest API — это задача на пересечении сетевой безопасности, разработки и тестирования. Для большинства проектов правильное сочетание инструментов и методик даёт сократимое до 90% количество повторяющихся уязвимостей в течение первых двух итераций тестирования.
Burp Suite Professional — коммерческий набор от PortSwigger: в 2025 году цена для индивидуальной лицензии составляла $399/год, корпоративные лицензии стартуют выше и зависят от числа пользователей (portswigger.net/burp, информация обновлена 2025-09). Плюсы: интегрированный прокси, Extender API для плагинов, встроенные инструменты для Intruder, Repeater и Collaborator. Минусы: стоимость и ограничение лицензирования; в 2024–2025 годах корпоративные проекты сообщали о задержках при масштабировании более чем на 50% при попытке поставить Burp в CI/CD (пример: внутренний разбор внедрения в e-commerce, апрель 2025).
OWASP Zed Attack Proxy (ZAP) — open source проект под эгидой OWASP. Стабильная версия 2.11.1 вышла в 2024, активность репозитория на GitHub в 2026 превышает 10 000 звёзд и 1 200 форков (состояние на 2026-02-01: github.com/zaproxy/zaproxy). Плюсы: бесплатность, хорошая интеграция в CI/CD, возможность headless-сканирования и автоматизации через API. Минусы: менее удобный UI по сравнению с Burp, меньший набор коммерческих плагинов и меньше продвинутых функций для ручного тестирования логики на уровне Repeater/Intruder.
Pentest (penetration test) — контролируемая проверка безопасности системы путём попыток эксплуатации уязвимостей. Для API pentest означает не просто сканирование endpoint'ов, а имитацию сценариев злоупотребления: компрометация токенов, обход авторизации, манипуляции параметрами и логикой. Международный стандарт OWASP API Security Project определяет методики и категории уязвимостей; их следуют сочетать автоматические сканы и ручные проверки. Например, отчет OWASP API Security Project показывает, что 60% случаев утечек данных связаны с неправильной авторизацией (статистика на 2024–2025, owasp.org).
Практический подход к API pentest состоит из этапов: сбор информации (инвентаризация endpoint'ов), анализ аутентификации и авторизации, тестирование бизнес-логики и Data Leakage, нагрузочное/сценарное тестирование и подготовка отчёта с воспроизводимыми PoC. Для API это часто короче, чем для инфраструктуры: средний api-pentest для среднего проекта (20–50 endpoint'ов) занимает 3–7 рабочих дней при одном тестировщике (внутренние оценки на 2025).
Схема этапов pentest API
Burp и ZAP — два основных инструмента, между которыми чаще всего приходится выбирать при планировании pentest API. Ниже — практические инструкции и примеры конфигурации для API через оба инструмента.
1) Настройка прокси: включите Burp Proxy, направьте curl/HTTP-клиент на 127.0.0.1:8080. 2) Intercept off + Repeater: перехватывайте запросы к /api/* и отправляйте в Repeater для ручной модификации. 3) Intruder для fuzzing: используйте payload list из 2025 OWASP payloads repository (github.com/OWASP), установите позицию на JSON-поле, используйте тип атаки Pitchfork для параллельного тестирования нескольких параметров.
curl -x http://127.0.0.1:8080 -H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"user_id":123, "amount":100}' \
https://api.example.com/payBurp позволяет запускать Collaborator для поиска SSRF и «out-of-band» взаимодействий — в отчётах 2025 Collaborator выявил 12% новых уязвимостей на этапе pentest для финтех-проектов (прим.: internal assessment, ноябрь 2025).
ZAP удобен для регулярных сканов в CI/CD. Пример запуска headless-сканера в Docker и отправки результатов в формат JSON для последующего анализа:
docker run --rm -v $(pwd):/zap/wrk/:rw owasp/zap2docker-stable zap-baseline.py \
-t https://api.example.com -r zap_report.html -J zap_report.jsonZAP имеет API для запуска Active и Passive сканов; в 2025 внедрения автоматизированных ZAP сканов позволяли сократить ручную нагрузку на 35% при ежедневных регрессионных запусках (пример: SaaS-компания, январь 2025).
Burp Suite и OWASP ZAP сравнительная диаграмма
OWASP обновляет рекомендации по уязвимостям регулярно; официальная OWASP Top 10 сосредоточена на наиболее распространённых рисках. В 2026 акцент смещается в сторону API и бизнес-логики: ключевые категории с учётом 2024–2026 трендов — Broken Object Level Authorization, Broken Authentication, Excessive Data Exposure, Injection и Rate Limiting / Abuse. Ниже — краткая адаптация Top 10 под API в 2026 с практическими примерами.
Для практического pentest API следует иметь чек-лист по каждому пункту и шаблоны PoC запросов; ниже разделы «Как тестировать auth?» и «А IDOR?» содержат такие PoC.
Аутентификация и авторизация — самые частые точки входа для атак. Перечень проверок и примеры PoC:
curl -s https://auth.example.com/.well-known/openid-configuration).# Пример проверки уязвимости alg=none
TOKEN='eyJhbGciOi...'
# декодируйте header, измените alg на "none", соберите токен и отправьте
curl -H "Authorization: Bearer $MODIFIED_TOKEN" https://api.example.com/userВ 2025 публичные разборы показали, что у 3% публичных API в списке тестируемых сервисов оставалась поддержка alg=none (исследование открытых сервисов, июль 2025).
import requests
TOKEN = 'eyJ...'
headers = {'Authorization': f'Bearer {TOKEN}'}
# проверка доступа к защищённому ресурсу
r = requests.get('https://api.example.com/profile', headers=headers)
print(r.status_code, r.text)IDOR (Insecure Direct Object References) / BOLA — уязвимость, где API принимает идентификатор объекта и не проверяет принадлежность этого объекта к текущему пользователю. Частая причина — использование предсказуемых идентификаторов и отсутствие проверки доступа на уровне объекта. Практическая методика и PoC:
import requests
BASE='https://api.example.com/orders/'
headers={'Authorization':'Bearer '+TOKEN}
for i in range(100,200):
r = requests.get(BASE+str(i), headers=headers)
if r.status_code == 200:
print('Found', i, r.json().get('owner'))Важно: при тестировании IDOR согласовывайте пределы запросов и избегайте нагрузочных атак без разрешения. В одном публичном кейсе (октябрь 2025) исследователь выявил IDOR, перебрав 10k идентификаторов; это привело к закрытию уязвимости и отчёту на платформе bug bounty с наградой $5,000.
Отчёт по pentest API должен быть воспроизводимым, приоритезированным и содержать PoC для каждой уязвимости. Стандартная структура отчёта, применимая в 2025–2026:
Рекомендую использовать шаблон, поддерживающий автоматический экспорт результатов из ZAP/Burp в единый JSON, затем собирать human-readable PDF/HTML. В 2025–2026 корпоративные команды, которые интегрировали автоматическую генерацию отчётов, сократили время подготовки финального отчёта на 40% (пример: internal devsecops project, февраль 2026).
Обязательное требование: каждый PoC в отчёте должен включать идентификатор запроса (timestamp, req_id), curl-команду и ожидаемое/фактическое поведение сервера.
Стоимость владения инструментами и затрат на pentest зависит от выбора инструментов и объёма работы.
Производительность инструментов измеряется способностью генерировать запросы, управлять сессиями и масштабироваться в CI. Burp Intruder при однопоточном запуске на обычном ноутбуке даёт сотни запросов в секунду; для high-throughput рекомендуется Burp Suite Enterprise (2025 кейсы показывают до 5k req/s при расположении в локальной сети). ZAP в Docker используется для периодических сканов; headless-режим с параллельными потоками даёт до 1k req/s в лабораторных условиях (примеры 2025).
Burp имеет большую коммерческую экосистему плагинов (BApp store), платные плагины и сообщество платных пользователей. ZAP — open source плагины, активное сообщество и интеграция с Jenkins/GitLab. В 2026 совместимость с CI/CD и автоматизированными тестами считается критичной: 78% компаний в опросе 2025 заявили, что интеграция security-сканов в CI уменьшила количество инцидентов в production (internal survey, 2025).
Для начинающих: ZAP — низкий порог (бесплатно, документация OWASP), Burp — средний/высокий (нужна лицензия, освоение GUI и Extender API). На обучение основам API pentest рекомендуется 2–4 недели практики при наличии опыта веб-разработки; ускоренные курсы и лаборатории (PortSwigger Academy) дают результаты за 1–2 недели (PortSwigger Academy, 2025).
Burp поставляется с коммерческой поддержкой и платными обновлениями; обратная связь по багам и фичам в PortSwigger приходит в пределах рабочих дней. ZAP поддерживается сообществом и фондами, для SLAs ориентируйтесь на внешних консультантов. Корпоративные проекты часто комбинируют: ZAP для автоматизации + Burp для ручной элитарной проверки.
Выбирайте Burp Suite, если: (1) у вас есть бюджет (ind. $399/год, enterprise больше) и требуется продвинутый ручной анализ, (2) проект содержит сложную бизнес-логику, где нужны Repeater/Intruder/Collaborator для PoC, (3) команда хочет использовать коммерческие плагины и расширения (пример: enterprise-fintech, сентябрь 2025 — Burp помог выявить цепочку уязвимостей, требовавшую коллаборационного взаимодействия).
ZAP подходит, если: (1) приоритет — регулярная автоматизация в CI/CD и ограниченный бюджет, (2) вы готовы дополнять автоматические сканы ручными тестами, (3) нужно быстро внедрить сканирование для множества сред. В 2025 несколько SaaS-компаний добились сокращения количества регрессий на 30% благодаря ежедневным ZAP-сканам в pipeline (пример: SaaS analytics, декабрь 2025).
Начните с пассивного сбора: каталогизируйте публичные endpoint'ы, используйте документацию (OpenAPI/Swagger), просмотрите клиентский код (SPA, мобильные приложения). Запросите у заказчика test-аккаунты с разными ролями. По опыту 2025, 70% потенциальных уязвимостей можно найти без доступа к исходникам, используя только API-клиенты и логи (публичные pentest-отчёты 2025). Важно иметь письменное разрешение на тестирование и согласованные рамки (scope).
Проверьте: корректность проверки подписи, отказ от `alg=none`, обработку `kid`, отсутствие trust на некорректные jwks_uri, корректность инвалидации refresh-токенов при logout. Используйте тесты на подмену payload и проверку токенов с неверным `iss/aud`. В 2025 кейсах, где JWT плохо верифицировались, это приводило к полному обходу привилегий (пример: April 2025 public incident).
Автосканеры (Burp/ZAP) хорошо находят типовые проблемы: SQLi, XSS, открытые endpoints. Они чаще пропускают логические ошибки и сценарии privilege escalation, требующие понимания бизнес-процессов. Практика 2025 показала: до 60% уязвимостей в bug bounty и корпоративных аудитах были логическими и выявлялись ручным анализом.
Привлекайте внешних специалистов при релизе критичных сервисов, перед сертификацией (PCI DSS, SOC2) или когда внутренние ресурсы не покрывают экспертизу по auth/IDOR. В 2025 внешние pentesty часто давали обнаружение критичных уязвимостей, которые внутренние команды не увидели за счёт «слепых зон» на уровне бизнес-логики (кейсы публичных аудитов).
На средний API (20–50 endpoint'ов) при одном тестировщике этапы занимают: 0.5–1 день на сбор информации, 2–5 дней на ручные и автоматические тесты, 1–2 дня на отчёт — итого 3–8 рабочих дней. Для крупных API (100+ endpoints) — 2–4 недели. Оценки основаны на реальных проектах 2024–2026 и зависят от объёма бизнес-логики и наличия документации.
Дополнительно: для чтения по инструментам смотрите раздел Инструменты и лучшие практики по безопасности — Безопасность на нашем сайте.
Комментарии (0)
Войдите или зарегистрируйтесь, чтобы оставить комментарий
Загрузка комментариев…