Explorar las categorías
Explora
Fiverr Pro
Español
$
USD
Realizaré una prueba de penetración profesional de seguridad en API rest o graphql
Acerca de este Servicio
aún la mayoría no son probadas. Soy un tester de penetración certificado en OSCP y CPTS, especializado en seguridad de API. Pruebo manualmente tu API REST o GraphQL contra las 10 principales vulnerabilidades de seguridad de API de OWASP.
LO QUE PRUEBO:
- BOLA/IDOR: acceso a recursos de otros usuarios
- - Autenticación rota: tokens débiles, problemas con JWT, exposición de claves API
- - Autorización a nivel de función rota: endpoints de administrador accesibles a usuarios
- - Consumo de recursos sin restricciones: limitación de tasa, agotamiento de recursos
- - SSRF mediante parámetros de API
- - Configuración de seguridad incorrecta: errores detallados, endpoints de depuración, CORS
- - Inyección: SQL, NoSQL, inyección de comandos mediante parámetros de API
- - Inyección OData en APIs empresariales/Microsoft
- ENTREGABLES:
- - Informe profesional en PDF de VAPT
- - Puntuaciones CVSS por vulnerabilidad
- - Solicitudes de PoC (cURL/Postman) para cada vulnerabilidad
- - Guía de remediación
- - Reprueba incluida (Estándar y Premium)
- Disponible NDA. La prueba no es destructiva. Las APIs son la superficie de ataque más objetivo en las aplicaciones modernas
FAQ
Traducción automática
Qué necesitas para empezar?
Como mínimo, necesito la URL base de la API y una cuenta de prueba. La documentación Swagger/OpenAPI o una colección de Postman ayudan, pero no son necesarias — puedo enumerar los endpoints manualmente.
¿Puedes probar nuestra API de producción?
Puedo hacerlo, pero recomiendo encarecidamente un entorno de staging. Todas las pruebas son no destructivas — no se modificará ni eliminará ningún dato sin consentimiento explícito.
¿Pruebas APIs de aplicaciones móviles?
Sí. Si tienes una app de Android/iOS, puedo interceptar y probar el tráfico de API subyacente. Contáctame antes de ordenar para una cotización personalizada.
¿Qué es la inyección OData?
OData es un protocolo de consulta usado por muchas APIs empresariales. La inyección OData permite a los atacantes manipular consultas de filtro/selección para acceder a datos no autorizados — una vulnerabilidad que encuentro regularmente en trabajos profesionales.
¿Está incluida la prueba de GraphQL?
Sí. Los problemas específicos de GraphQL (abuso de introspección, ataques de batching, DoS en consultas anidadas, bypass de autenticación) están cubiertos en los paquetes Estándar y Premium.
¿Puedes firmar un NDA?
Sí, antes de cada trabajo.
¿Qué pasa si necesito más de 30 endpoints?
Selecciona Premium o contáctame para una cotización personalizada con la cantidad de endpoints que necesitas.
