← Terug naar diensten // Offensive

API Pentest

REST, GraphQL & SOAP - BOLA, auth-bypass en business logic

€175 /uur CCV gecertificeerd Neem contact op

Wij pentesten uw API's op de OWASP API Security Top 10 en verder. Van Broken Object Level Authorization (BOLA/IDOR) en broken authentication tot mass assignment, rate-limiting en business-logica fouten. REST, GraphQL en SOAP, handmatig getest door CCV-gecertificeerde pentesters.

Wat is een API pentest?

Een API pentest is een gericht beveiligingsonderzoek van uw API's. Wij onderzoeken uw REST-, GraphQL- en SOAP-endpoints zoals een echte aanvaller dat doet en tonen aan wat er werkelijk mis kan gaan: kan een gebruiker data van een ander account opvragen, autorisatie omzeilen of via de API uw backend compromitteren?

API's zijn vandaag de dag het hart van vrijwel elke applicatie: mobiele apps, single-page applicaties, microservices en B2B-integraties draaien allemaal op API's. Daarmee verschuift het aanvalsoppervlak. De kwetsbaarheden die wij het vaakst rapporteren, BOLA/IDOR in object-referenties, broken authentication, mass assignment en business-logica fouten, zitten juist in de API-laag en worden door geautomatiseerde scanners structureel gemist.

Wij testen op de OWASP API Security Top 10 en gaan verder. Zolder is een CCV Keurmerk Pentesten gecertificeerd pentestbedrijf, dus u krijgt een onafhankelijk, kwalitatief rapport dat ook voor NIS2 of ISO 27001 bruikbaar is.

Wat testen wij in uw API?

  • BOLA / IDOR - kan gebruiker A via een object-ID bij de data van gebruiker B? De meest voorkomende en impactvolle API-kwetsbaarheid.
  • Broken authentication & JWT-misbruik - zwakke token-validatie, key confusion, oneindig geldige tokens.
  • Broken function level authorization - kan een gewone gebruiker admin-endpoints aanroepen?
  • Mass assignment - extra velden meesturen om rechten of prijzen te manipuleren.
  • Excessive data exposure - geeft de API meer data terug dan de frontend toont?
  • Resource consumption / rate limiting - DoS via ontbrekende limieten of excessief gebruik.
  • Injection & SSRF - SQL/NoSQL-injectie, command injection en server-side request forgery via API-parameters.

Waarom een API pentest laten uitvoeren?

Uw API is direct bereikbaar via het internet en verwerkt vaak uw meest gevoelige data:

  • Datalekken voorkomen: één BOLA-kwetsbaarheid kan toegang geven tot de volledige klantendatabase.
  • Mobiele en SPA-backends: de echte beveiliging zit niet in de app, maar in de API erachter.
  • B2B-koppelingen: partners en klanten eisen steeds vaker een pentestrapport voordat zij met uw API koppelen.

Onze aanpak

Onze API pentests combineren methodisch handwerk met gerichte automatisering:

  1. Scoping - u spreekt direct met de pentester. Wij nemen uw OpenAPI/Swagger-spec, Postman-collectie of GraphQL-schema door en bepalen welke endpoints, rollen en objecten in scope zijn.
  2. Mapping & discovery - alle endpoints, methods, parameters en object-ID's in kaart, inclusief ongedocumenteerde en verborgen endpoints.
  3. Authenticatie & autorisatie - het zwaartepunt. BOLA/IDOR tussen accounts en rollen, JWT-analyse, function-level authorization, sessie- en token-handling. Bij voorkeur voeren wij een authenticated API pentest uit: met geldige accounts op verschillende rechtenniveaus vinden wij autorisatiefouten zoals BOLA die bij een unauthenticated test verborgen blijven.
  4. Input & data handling - injection (SQL, NoSQL, command), mass assignment, excessive data exposure, SSRF en parameter pollution.
  5. Business logic - kan een gebruiker stappen overslaan, prijzen manipuleren of eenmalige acties herhalen? Dit testen wij handmatig.
  6. Rapportage - managementsamenvatting en technische write-ups met reproduceerstappen per endpoint. Wij hanteren normaliter een kwalitatieve risicoanalyse (severity); CVSS-scores leveren wij op aanvraag. Kritieke bevindingen bellen wij direct door.
  7. Hertest - na uw fixes verifiëren wij of de kwetsbaarheden daadwerkelijk zijn verholpen.

Wat kost een API pentest?

Ons uurtarief is €175 per uur (excl. BTW). De totale investering hangt af van het aantal endpoints en de complexiteit van de autorisatiestructuur. Na een gratis scopingsgesprek ontvangt u een vaste offerte.

Veelgestelde vragen

Wat is een API pentest?

Een API pentest is een beveiligingsonderzoek waarbij wij uw API's (REST, GraphQL of SOAP) aanvallen zoals een echte aanvaller dat doet. Wij testen op de OWASP API Security Top 10: Broken Object Level Authorization (BOLA/IDOR), broken authentication, mass assignment, excessive data exposure en business-logica fouten. Het accent ligt op autorisatie en logica, juist de kwetsbaarheden die scanners structureel missen.

Wat is het verschil tussen een API pentest en een web applicatie pentest?

Een web applicatie pentest test de volledige applicatie inclusief de browser-frontend. Een API pentest richt zich specifiek op de API-laag: endpoints, authenticatie, autorisatie tussen objecten en datavalidatie. Heeft u een headless API, mobiele backend of microservices? Dan is een dedicated API pentest de juiste keuze. Vaak combineren wij beide.

Testen jullie zowel REST als GraphQL?

Ja. Wij testen REST-, GraphQL- en SOAP-API's. Bij GraphQL letten wij extra op introspection, query depth/complexity (DoS), batching-aanvallen en autorisatie per resolver. Bij REST ligt de focus op BOLA/IDOR, HTTP-method tampering en parameter pollution.

Hebben jullie documentatie of een schema nodig?

Het helpt enorm. Met een OpenAPI/Swagger-specificatie, Postman-collectie of GraphQL-schema testen wij efficiënter en grondiger. Wordt dit niet aangeleverd, dan geeft de test een beperkter inzicht; met documentatie is er aanzienlijk meer te vinden. Heeft u die niet? Dan brengen wij de API zelf in kaart, maar dat kost meer tijd.

Volgen jullie de OWASP API Security Top 10?

Ja. De OWASP API Security Top 10 is ons startpunt, niet ons eindpunt. Wij toetsen op alle categorieën (BOLA, broken authentication, broken object property level authorization, unrestricted resource consumption, SSRF) en gaan daarna handmatig dieper op de business-logica van uw specifieke API.

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.