Endpoint Discovery y Cobertura Funcional
- Shadow and zombie API discovery beyond your documented schema
- Enumeración de endpoints REST, GraphQL, gRPC, SOAP y WebSockets
- Parsing de OpenAPI / Swagger y colecciones de Postman para cobertura completa
- Detección de versiones obsoletas y no documentadas
Autenticación, Identidad y Control de Acceso
- Validación de JWT y OAuth 2.0: pruebas de falsificación de tokens y de reenvío
- Pruebas de invalidación de sesión, refresh-token y flujo de logout
- Explotación de BOLA (Autorización rota a nivel de objeto) y BFLA
- Escalada de privilegios y evasión del control de acceso horizontal y vertical
Seguridad de datos e integridad de la lógica de negocio
- Pruebas de asignación masiva y exposición excesiva de datos
- Validación de entrada, inyección y manipulación de parámetros
- Abuso de la lógica de negocio, elusión del flujo de trabajo y condiciones de carrera
- Sensitive data leakage in responses, errors and logs
Infraestructura, Gateways y alineación con los estándares
- Pruebas de rate-limiting, throttling y agotamiento de recursos
- Análisis de configuraciones erróneas de CORS y CSP
- API gateway, WAF and TLS configuration review
- Alineación con el OWASP API Security Top 10 y el SANS Top 25