API Security: La seguridad es cosa de todos
Fases de Evaluación de API Security

La seguridad en las APIs se debe evaluar en tres fases:
- Tiempo de definición: Debe evaluarse cuando se esté definiendo el Openapi y debe ser lo primero que se realice.
- Tiempo de compilación: Cuando se empiecen a desplegar las Apis y ya esté desarrollada la implementación se deberá evaluar la seguridad
- Tiempo de ejecución: Es el momento más delicado, porque si falla los controles no se podrá realizar nada.
Fase de Definición

En tiempo de definición se debería evaluar algunos de los siguientes aspectos:
- Todos los atributos deben tener valores máximo y mínimos
- Todos los endpoints deben tener seguridad establecida
- Todos los ids deben ser alfanuméricos
- Todos los objetos deben estar definidos
- Todos los uri parameters deben estar definidos
- Todos los códigos de respuesta deben ir definidos
- El código 404 debería estar definido en todos los GET, PUT, HEAD and DELETE
Algunas de las herramientas que podemos utilizar son:
- doSonarAPI
- 42Crunch
Fase de Compilación

En tiempo de definición se debería evaluar algunos de los siguientes aspectos:
- Todos los atributos deben tener valores máximo y mínimos
- Todos los endpoints deben tener seguridad establecida
- Todos los ids deben ser alfanuméricos
- Todos los objetos deben estar definidos
- Todos los uri parameters deben estar definidos
- Todos los códigos de respuesta deben ir definidos
- El código 404 debería estar definido en todos los GET, PUT, HEAD and DELETE
Algunas de las herramientas que podemos utilizar son:
- doSonarAPI
- 42Crunch
Tiempo de ejecución

En tiempo de definición se debería evaluar algunos de los siguientes aspectos:
- Todos los atributos deben tener valores máximo y mínimos
- Todos los endpoints deben tener seguridad establecida
- Todos los ids deben ser alfanuméricos
- Todos los objetos deben estar definidos
- Todos los uri parameters deben estar definidos
- Todos los códigos de respuesta deben ir definidos
- El código 404 debería estar definido en todos los GET, PUT, HEAD and DELETE
Algunas de las herramientas que podemos utilizar son:
- doSonarAPI
- 42Crunch
¡Contacta con nosotros!
Author
Marco Sanz

API Security
Sistemas de seguridad para protegerte de ataques
Auditamos, comprobamos y establecemos las mejores prácticas para establecer las políticas de seguridad adecuadas.
Seguridad de las APIs
Abordamos las amenazas a lo largo de todo el ciclo de vida de las APIs con una metodología contrastada propia.
- Auditorías de seguridad
- Definición de arquitecturas de seguridad basadas en OWASP
- Seguridad en fase de definición
- Usos de WAF y AI para la protección en ejecución
- Pruebas de pentesting en APIs
- Pruebas de ciberseguridad de aplicaciones


¡Habla con nuestros expertos!
APIficando las empresas con las últimas tecnologías
Conoce cómo empresas similares a la tuya han alcanzado sus retos tecnológicos utilizando nuestras soluciones de integración.

Lyntia - Telco

Unnax - Banca

Rimac - Seguros

RSI - Banca

Insudpharma - Salud

Openfinance - Banca
Author