Tenemos un servidor que ejecuta una API REST en el puerto 443. Me gustaría asegurarme de que sea seguro haciendo varias pruebas con el lápiz. Estoy acostumbrado a hacer pruebas ofensivas en una página web donde puedo ver el código y las URL, y encontrar formularios para probar. Pero estoy completamente ciego al probar una API. Ni siquiera sé cuáles son las URL válidas para probar. ¿Existe alguna buena documentación sobre cómo hacer esto, quizás utilizando Kali Linux?
REST Security y API Security son excelentes temas de investigación.
Esta pregunta y las respuestas proporcionan buenos puntos de partida para encontrar herramientas y técnicas excelentes para probar estas interfaces: Metodologías de prueba de seguridad API
Si fuera usted, evitaría probar una interfaz REST o la seguridad de una API de forma remota, o mediante una técnica de caja negra como las pruebas de seguridad de aplicaciones dinámicas. Lo que desea es analizar las decisiones de diseño (este blog post es una excelente referencia con ejemplos de código .NET y recomendaciones de componentes) y / o realizar una revisión segura del código. Una herramienta que uso habitualmente para realizar revisiones de código seguro es Buscar errores de seguridad . Para analizar componentes, hay Comprobación de dependencia de OWASP (con soporte en varios idiomas), bundler-audit para Ruby, Retire.js (o Snyk.io ) para JavaScript, y OWASP SafeNuGet para proyectos .NET.
Lea otras preguntas en las etiquetas penetration-test rest api