Escopo
O que entra no teste
Cada engajamento segue regras acordadas; abaixo, o recorte típico para superfície exclusivamente de API.
O foco é autenticação e sessão: emissão e revogação de tokens, escopos OAuth, chaves estáticas mal guardadas e vazamento de credenciais em respostas ou logs. Em autorização, buscamos IDOR, escalação horizontal ou vertical e quebra de regras por manipulação de parâmetros ou verbos HTTP.
GraphQL exige atenção a introspection exposta, queries profundas, batching abusivo e falhas no modelo de autorização por campo. Em REST, o trabalho cobre versionamento inseguro, documentação pública excessiva e inconsistência entre gateway e serviço de origem.
Também olhamos limites e abuso de fluxo: rate limit frágil, enumeração em listagens paginadas, exportação em massa e combinações de chamadas que viram vazamento de dado ou fraude operacional. O valor comercial está em saber se o contrato exposto sustenta release a parceiros ou app público — e se um terceiro consegue extrapolar o uso previsto sem alarme claro.
APIs raramente existem sozinhas: o teste considera integrações e terceiros (webhooks, parceiros, filas) como extensão da superfície. O serviço completo de pentest ofensivo inclui web, mobile e cloud quando o escopo exige. Depois dos achados, a continuidade costuma ser remediação após pentest e engenharia de segurança.
Relação com outros serviços
Quando a API não é o único alvo
Se o risco estiver no fluxo completo (app + API + backoffice), o escopo costuma ser o pentest integrado. Para decisão antes do teste, use consultoria especializada. A metodologia descreve fases e entregáveis. A tese geral da empresa está em cibersegurança.