API Security

APIs Seguridad Technology
_

API Security: La seguridad es cosa de todos

Fases de Evaluación de API Security

api security esquema

La seguridad en las APIs se debe evaluar en tres fases:

  • Tiempo de definición: Debe evaluarse cuando se esté definiendo el Openapi y debe ser lo primero que se realice.
  • Tiempo de compilación: Cuando se empiecen a desplegar las Apis y ya esté desarrollada la implementación se deberá evaluar la seguridad
  • Tiempo de ejecución: Es el momento más delicado, porque si falla los controles no se podrá realizar nada.

Fase de Definición

api security 2

En tiempo de definición se debería evaluar algunos de los siguientes aspectos:

  • Todos los atributos deben tener valores máximo y mínimos
  • Todos los endpoints deben tener seguridad establecida
  • Todos los ids deben ser alfanuméricos
  • Todos los objetos deben estar definidos
  • Todos los uri parameters deben estar definidos
  • Todos los códigos de respuesta deben ir definidos
  • El código 404 debería estar definido en todos los GET, PUT, HEAD and DELETE

Algunas de las herramientas que podemos utilizar son:

  • doSonarAPI
  • 42Crunch

Fase de Compilación

api security 1

En tiempo de definición se debería evaluar algunos de los siguientes aspectos:

  • Todos los atributos deben tener valores máximo y mínimos
  • Todos los endpoints deben tener seguridad establecida
  • Todos los ids deben ser alfanuméricos
  • Todos los objetos deben estar definidos
  • Todos los uri parameters deben estar definidos
  • Todos los códigos de respuesta deben ir definidos
  • El código 404 debería estar definido en todos los GET, PUT, HEAD and DELETE

Algunas de las herramientas que podemos utilizar son:

  • doSonarAPI
  • 42Crunch

Tiempo de ejecución

En tiempo de definición se debería evaluar algunos de los siguientes aspectos:

  • Todos los atributos deben tener valores máximo y mínimos
  • Todos los endpoints deben tener seguridad establecida
  • Todos los ids deben ser alfanuméricos
  • Todos los objetos deben estar definidos
  • Todos los uri parameters deben estar definidos
  • Todos los códigos de respuesta deben ir definidos
  • El código 404 debería estar definido en todos los GET, PUT, HEAD and DELETE

Algunas de las herramientas que podemos utilizar son:

  • doSonarAPI
  • 42Crunch

// ¿Quieres que te ayudemos a mejorar la seguridad de las APIs?

¡Contacta con nosotros!

Contacta
8

Author

Marco Sanz

Leave a comment

Tu dirección de correo electrónico no será publicada.

Transformamos las empresas a través de las APIs

API Security

Sistemas de seguridad para protegerte de ataques

Auditamos, comprobamos y establecemos las mejores prácticas para establecer las políticas de seguridad adecuadas.

Estrategias y políticas todo el ecosistema de APIs

Seguridad de las APIs

Abordamos las amenazas a lo largo de todo el ciclo de vida de las APIs con una metodología contrastada propia.

  • Auditorías de seguridad
  • Definición de arquitecturas de seguridad basadas en OWASP
  • Seguridad en fase de definición
  • Usos de WAF y AI para la protección en ejecución
  • Pruebas de pentesting en APIs
  • Pruebas de ciberseguridad de aplicaciones
code
code
¿Quieres implantar o mejorar tu organización?

¡Habla con nuestros expertos!

CONTACTAR
casos de éxito

APIficando las empresas con las últimas tecnologías

Conoce cómo empresas similares a la tuya han alcanzado sus retos tecnológicos utilizando nuestras soluciones de integración.

VER MÁS
Lyntia - Telco
Lyntia - Telco
Auditoría de seguridad del portal del cliente.
Unnax - Banca
Unnax - Banca
Auditoría de seguridad OWASP.
Rimac - Seguros
Rimac - Seguros
Auditoría de seguridad OWASP.
RSI - Banca
RSI - Banca
Auditoría de seguridad OWASP.
Insudpharma - Salud
Insudpharma - Salud
Auditoría de seguridad Cami.
Openfinance - Banca
Openfinance - Banca
Auditoría de seguridad OWASP.

Author

Beatriz Abad