API

Aqui você vai entender mais sobre o processo de pentest em API.

O processo começa com o mapeamento das APIs e seus endpoints navegando por toda a aplicação. Após identificar o tipo de API (REST, GraphQL, SOAP), é possível avançar para etapas como o fuzzing dos endpoints em busca de vulnerabilidades.

REST:

• REST é um estilo arquitetural para APIs web que utiliza os métodos HTTP padrão (GET, POST, PUT, DELETE) para manipular recursos identificados por URLs, seguindo princípios como statelessness, cacheabilidade e uma interface uniforme.

GraphQL:

• É uma linguagem de consulta e uma estrutura de execução para APIs que permite que os clientes solicitem apenas os dados específicos de que precisam, em vez de receberem uma resposta completa com todos os dados disponíveis. Foi desenvolvido pelo Facebook em 2012 e lançado publicamente em 2015.A principal diferença entre GraphQL e as abordagens tradicionais de API, como REST (Representational State Transfer), é que o GraphQL coloca o controle nas mãos dos clientes. Em vez de o servidor determinar quais dados são retornados em uma resposta, o cliente especifica exatamente quais campos e relacionamentos ele deseja que a API retorne. Isso torna as consultas mais eficientes e flexíveis, pois os clientes podem buscar apenas o que precisam, evitando a sobrecarga de dados.