BasisHost

Premium API Security Audit: Hoe Werkt Het?

API's zijn het nieuwste aanvalsoppervlak en worden vaak minder grondig getest dan websites. Deze audit toetst uw publieke REST en GraphQL API's tegen de OWASP API Security Top 10 en levert een rapport met concrete bevindingen.

Wat is de Premium API Security Audit?

OWASP rapporteert dat broken authentication, BOLA (Broken Object Level Authorization) en excessive data exposure de meest voorkomende API-kwetsbaarheden zijn. Vrijwel elk publieke API-endpoint heeft minstens één van deze problemen tenzij actief getest.

De audit voert een combinatie van actieve en passieve scans uit op uw API: schema-detectie, authenticatie-flows, rate-limiting, error-handling en data-exposure. Elke bevinding krijgt een CVSS-score en een mitigatie-suggestie.

De 5 categorieën

1

Authenticatie & autorisatie (30 punten)

Authenticatie-mechanisme (Bearer, OAuth, API-key), token-lifetime, refresh-flow, brute-force protectie. BOLA-detectie via parameter-fuzzing op object-IDs.

Vooral BOLA is risicovol: een gebruiker met geldig token kan vaak data van andere gebruikers ophalen door simpelweg het ID in de URL te wijzigen.

2

Input-validatie (20 punten)

Toetst of de API parameters valideert (type, lengte, range, regex), of speciale karakters (NoSQL injection, command injection) goed worden afgehandeld.

GraphQL-specifiek: query-depth limiet, query-complexity limiet, introspection in production.

3

Rate-limiting & throttling (15 punten)

Per-endpoint en per-user rate-limits, throttling-headers (X-RateLimit-*), en gedrag bij overschrijding (429 vs lockout).

Onbeperkte API's leiden tot scraping, brute-force aanvallen en hoge cloud-kosten.

4

Data-exposure (20 punten)

Worden er meer velden geretourneerd dan strikt nodig? PII in error messages? Verbose stack traces?

Specifiek: zorg dat /api/users/{id} alleen publieke velden teruggeeft, niet password-hashes of interne IDs.

5

Documentatie & security headers (15 punten)

OpenAPI/GraphQL schema bereikbaar maar niet sensitive (geen interne endpoints in publieke spec). CORS-headers correct (geen wildcard met credentials).

Security-headers zoals Strict-Transport-Security, X-Content-Type-Options ook op API-domein.

Wat wordt er gecontroleerd?

30+ checks gemapt op de OWASP API Security Top 10 (2023):

  • API1 BOLA: object-level authorization fuzz-test op ID-parameters.
  • API2 Broken Authentication: token-validatie, refresh-flow, MFA-support.
  • API3 Object Property Level Authorization: field-level access control.
  • API4 Unrestricted Resource Consumption: rate-limit en payload-size checks.
  • API5 Function Level Authorization: admin-endpoints achter juiste rol.
  • API6 Unrestricted Access to Sensitive Business Flows: bv. ongelimiteerd registreren.
  • API7 SSRF: URL-input validatie tegen Server-Side Request Forgery.
  • API8 Security Misconfiguration: headers, error-details, default credentials.
  • API9 Improper Inventory: oude/test API-versies bereikbaar.
  • API10 Unsafe Consumption of APIs: validatie van data van third-party API's.
  • HTTPS: alle endpoints alleen over TLS, redirects van HTTP.
  • CORS: geen wildcard met Access-Control-Allow-Credentials.

Resultaten interpreteren

Na afronding van de assessment ontvangt u een uitgebreid resultaatoverzicht met de volgende onderdelen:

  • API security score (0-100) met grade.
  • OWASP API Top 10 mapping met pass/fail per categorie.
  • Bevindingen-lijst met CVSS-score per finding.
  • Endpoint-inventaris met security-status per endpoint.
  • Geprioriteerd actieplan — eerst de critical findings.
  • Code-snippets voor middleware en validatie in Express, FastAPI, Spring etc.

Critical findings (BOLA, broken auth, SSRF) verdienen directe actie — deze zijn het meest gebruikt bij reële aanvallen. Een score van 80+ duidt op een goed beveiligde API; daaronder is gerichte hardening nodig.

Wat zit er in het rapport?

Premium API Security Audit — €79

De Premium API Security Audit levert een compleet, professioneel rapport. Het rapport bevat:

  • Scan tegen alle 10 OWASP API Security Top 10 (2023) categorieën
  • 30+ controls met CVSS-scoring per bevinding
  • Endpoint-inventaris met per-endpoint security-status
  • Geprioriteerd actieplan met critical/high/medium/low findings
  • Middleware code-snippets voor populaire frameworks
  • Downloadbaar PDF-rapport (NL/EN) voor developer en security-team
  • 3 herhalingen om voortgang na fixes te meten

Veelgestelde vragen

Werkt dit voor zowel REST als GraphQL?

Ja. De audit detecteert het API-type automatisch op basis van het endpoint en past de juiste tests toe. Voor GraphQL ook query-depth, complexity-limiting en introspection-checks.

Heb ik een test-account of API-key nodig?

Voor publieke endpoints niet. Voor authenticated endpoints is een test-token aanbevolen om ook BOLA en autorisatie te kunnen testen. We adviseren een gescheiden test-account met dummy-data.

Heeft de scan impact op mijn productie?

Beperkt — de scan respecteert rate-limits en gebruikt geen agressieve fuzzing. Toch adviseren we waar mogelijk een staging- of test-omgeving te scannen, zeker bij APIs die externe systemen aanroepen.

Wat doe ik met de findings?

De rapport bevat per finding: beschrijving, CVSS-score, exploit-scenario, en mitigatie-snippet. Voor critical findings: direct fixen. High: binnen 30 dagen. Medium/Low: bij volgende sprint of release.

Bekijk een voorbeeldrapport

Zie vooraf wat u krijgt: een volledig uitgewerkt API Security Audit rapport met scores, aanbevelingen en uitleg in begrijpelijke taal.

Download voorbeeld-PDF
Premium — €79
API Security Audit

API security audit tegen OWASP API Top 10 met BOLA-detectie, rate-limit checks en code-snippets per framework.

Bestel de Premium API Security Audit
Start gratis proefperiode 14 dagen gratis · geen contract
Aanvragen