Зв’язатися

Ручне тестування на проникнення API

Ваші API відкривають дані та логіку безпосередньо клієнтам і партнерам, без UI, за яким можна сховатися — а перевірка кожного ендпоінта на вади на рівні об’єктів і авторизації — це прискіплива, спеціалізована робота, якій широкий пентест рідко віддає належне. Саме на цій глибині ми зосереджуємось.

Зв’язатися

Нам довіряють

Знайома ситуація?

Немає UI, за яким сховатися

Ваша справжня поверхня — це API, а не фронтенд.

Що б не контролював UI, API відповідає напряму. Зловмисник повністю оминає ваш інтерфейс і звертається до ендпоінтів безпосередньо — а ви ніколи не тестували, що вони повертають.

BOLA / авторизація

Ви не впевнені, що кожен ендпоінт перевіряє «чи це ваше?»

Автентифікації ви довіряєте. Але авторизація на рівні кожного об’єкта й функції на сотнях ендпоінтів — саме там ламаються API: одна пропущена перевірка — і будь-який користувач читає будь-який запис.

Партнерський / публічний API

Треті сторони споживають ваш API напряму.

Партнери та клієнти інтегруються з вашими ендпоінтами й очікують, що їх протестовано. Вада тут — це не лише ваша проблема, а ризик для всіх, з ким ви інтегровані.

GraphQL / схема

Ваш GraphQL чи схема можуть розповідати зловмисникам забагато.

Інтроспекція, вкладені запити та надмірно відкриті поля дають зловмисникам карту вашої моделі даних — і спосіб зловживати нею для перелічення чи відмови в обслуговуванні.

Compliance

Аудит чи клієнт хочуть, щоб саме API було протестовано.

SOC 2, ISO 27001, PCI чи перевірка безпеки клієнта тепер прямо вказують на API. Загальний звіт по вебзастосунку цього не задовольняє — потрібне тестування, обмежене скоупом самого інтерфейсу.

Розростання

Ви випустили більше ендпоінтів, ніж хтось відстежує.

Версійовані, застарілі, внутрішні, незадокументовані — ендпоінти накопичуються швидше, ніж їх інвентаризують. Забутий маршрут v1 без автентифікації — саме те, що знаходять першим.

Ціна бездіяльності

#1 risk

Broken object-level authorization (BOLA) очолює OWASP API Security Top 10 — і це найпоширеніша серйозна вада, яку ми знаходимо, адже її підтвердження означає ручне тестування кожного об’єкта на кожному ендпоінті.

80%+

вебтрафіку — тепер це API-трафік, тобто більшість вашої справжньої поверхні атаки живе там, де немає UI, який її обмежує.

1 endpoint

без перевірки власності може злити кожен запис за ним. Одного забутого ендпоінта зловмиснику достатньо.

Що саме тестувати

Глибоке ручне тестування кожного ендпоінта, методу й об’єктаа не лише «щасливого шляху», описаного у вашій документації.

Black-box

Ми атакуємо API як зовнішній споживач, маючи лише публічно доступне, і виявляємо ендпоінти, версії та методи, яких немає в документації.

Grey-box

Автентифіковане тестування з обліковими даними по ролях, скоупах і тенантах — плюс схема чи специфікація, де доступні — щоб задіяти авторизацію на рівні об’єктів і функцій на повну глибину.

Класи вразливостей, які шукаємо

  • BOLA (зламана авторизація на рівні об’єктів)
  • BFLA (зламана авторизація на рівні функцій)
  • Зламана автентифікація
  • Надмірне розкриття даних
  • Mass assignment
  • Неналежна інвентаризація / тіньові ендпоінти
  • Підробка запитів на боці сервера (SSRF)
  • Ін’єкції (SQL / NoSQL / команди)
  • GraphQL-ін’єкції
  • Зловживання інтроспекцією GraphQL
  • DoS через вкладені / глибокі запити
  • Зловживання батчингом
  • Неналежне обмеження частоти
  • Вичерпання ресурсів
  • Вади JWT
  • Вади OAuth / токенів
  • Витік і зловживання API-ключами
  • Replay-атаки
  • Неналежна валідація вводу
  • Зловживання бізнес-логікою
  • Вади версіонування (небезпечні застарілі ендпоінти)
  • Неналежна обробка помилок / надмірно детальні помилки
  • Небезпечний CORS
  • Підміна HTTP-методів
  • Зловживання вебхуками
  • Прогалини контролю невідповідності схемі / специфікації
  • Міжтенантний доступ до даних

Поверхня API до покриття

  • REST-ендпоінти
  • GraphQL-ендпоінти
  • SOAP / XML-сервіси
  • Публічні API
  • Партнерські / B2B API
  • Внутрішні / service-to-service API
  • Ендпоінти автентифікації
  • Видача токенів і ключів
  • Потоки OAuth
  • API-шлюзи
  • Рівні обмеження частоти та throttling
  • Ендпоінти об’єктів і ресурсів
  • Адмін / привілейовані ендпоінти
  • Межі даних між тенантами
  • Параметри пагінації та фільтрації
  • Ендпоінти завантаження / вивантаження файлів
  • Вебхуки
  • Масові / пакетні операції
  • Версійовані ендпоінти (v1/v2…)
  • Застарілі та незадокументовані ендпоінти
  • Інтроспекція схеми / OpenAPI / GraphQL
  • Ендпоінти сторонніх інтеграцій

Що насправді означає ручне

Більшість роботи з безпеки зупиняється на виявленні вразливості. Для нас це лише відправна точка.

Приклад: зламана авторизація на рівні об’єктів (BOLA)

Рівень 1 — Поверхневий

Знайти й позначити

Типовий результат для сканери, фрилансери, bug bounty

Загальний тест за специфікацією бачить, що ендпоінт повертає 200 OK на коректний запит. Проходить. Позначено як нормальне.

Рівень 2 — Стандартний

Підтвердити та зафіксувати

Типовий результат для більшість пентест-вендорів

Типовий пентестер підміняє один ID об’єкта й витягує запис одного іншого користувача, щоб довести ваду, повідомляє про один IDOR — і на цьому зупиняється.

Рівень 3 — Глибокий

Ланцюжок і реальний вплив

Типовий результат для XRAY CyberSecurity

Показуємо, що ID об’єктів можна перебирати в масштабі, щоб дістатися записів будь-якого клієнта, визначаємо привілейовані об’єкти, зловживаємо зламаною перевіркою на рівні функцій для доступу до адмінських операцій, створюємо чи підвищуємо токен — і демонструємо, що одна пропущена перевірка власності відкриває доступ до всього набору даних за API, по всіх тенантах.

Приклад: інтроспекція GraphQL і надмірне розкриття даних

Рівень 1 — Поверхневий

Знайти й позначити

Типовий результат для сканери, фрилансери, bug bounty

Тест за чеклістом помічає, що інтроспекція GraphQL увімкнена. Позначено «informational».

Рівень 2 — Стандартний

Підтвердити та зафіксувати

Типовий результат для більшість пентест-вендорів

Типовий пентестер виконує запит, що повертає кілька прихованих полів, щоб довести розкриття, робить скриншот, фіксує знахідку — не йдучи далі.

Рівень 3 — Глибокий

Ланцюжок і реальний вплив

Типовий результат для XRAY CyberSecurity

Складаємо повну карту схеми через інтроспекцію, формуємо запити, що дістаються прихованих і надмірно відкритих полів, вкладаємо й батчимо їх для обходу обмеження частоти, перелічуємо користувачів і внутрішні об’єкти й показуємо, що токени та PII доступні в масштабі — демонструючи масове розкриття даних через єдиний ендпоінт, який ніхто не вважав чутливим.

Власні ланцюжки

У кожного API — свій ланцюжок атак

Ваш закладений у ваші ендпоінти, модель об’єктів, логіку авторизації та версії, які ви випустили й забули.

Іноді ланцюжок розкриває все. Іноді надійний рівень авторизації розриває його посередині — і ми повідомляємо, де саме та чому.

У будь-якому разі: ви бачите те, що насправді бачить зловмисник.

Не впевнені, які ендпоінти включити в скоуп? Складемо карту вашої поверхні API.

Senior-пентестер (а не менеджер з продажів) повернеться до вас із чесною оцінкою того, що справді варто тестувати.

Зв’язатися Записатися на дзвінок
Кейси

З реальних проєктів

Кілька проєктів, що показують, як виглядає робота з нами — у масштабі, роками, у різних галузях.

Виробництво · FMCG

Серія пентест-проєктів для глобальної food & beverage компанії, що працює у 120+ країнах.

Blackbox- і Greybox-тестування кількох ІТ-сервісів — гарантуємо високий захист для споживачів, працівників, підрядників та акціонерів, водночас задовольняючи вимоги compliance на рівні групи.

Читати кейс
B2B SaaS · LMS

Комплексний пентест вебзастосунку для підтримки сертифікації ISO 27001 корпоративної LMS-платформи.

Blackbox- і Greybox-тестування за OWASP — з повторним тестуванням після усунення та фінальним звітом, що підтвердив рівень безпеки для аудиту ISO 27001.

Читати кейс
Усі кейси

Що ви отримаєте

П'ять артефактів — розрахованих на тих, хто справді ними користуватиметься: ваші інженери, ваш C-level, аудитори та Enterprise-клієнти.

Зразок артефактів XRAY CyberSecurity: Технічний звіт, Стислий звіт для керівництва, Звіт про повторне тестування і Сертифікат безпеки зверху

Хочете побачити, як вони виглядають насправді?

Отримати приклад звіту

Реальна структура, реальні знахідки, реальний формат. Саме ті документи, які побачить ваша команда й аудитори.

Терміновий проміжний звіт

Знайдемо Critical — дізнаєтеся того ж дня.

Якщо в процесі роботи ми виявимо вразливість рівня Critical, що потребує негайних дій, ви отримаєте сповіщення з кроками відтворення та рекомендаціями. Ми продовжуємо тестувати, ви паралельно починаєте усувати. Без очікування фінального звіту.

Для вашої інженерної команди, вашого CTO

Технічний звіт

Пріоритизовані знахідки, з якими інженери можуть розпочати роботу того ж дня.

Кожна вразливість із кроками відтворення, PoC-експлуатацією, оцінкою бізнес-впливу та пріоритизованою дорожньою картою усунення. Без false-positive. Без зайвого. Зроблено так, щоб ваші розробники точно знали, що й у якому порядку виправляти.

Для ваших інженерів, вашого CTO, вашої команди безпеки

Стислий звіт для керівництва

Те, що дійсно треба знати раді та інвесторам.

Звіт бізнес-мовою: security-postur вашого продукту, виявлені ризики, їхній потенційний бізнес-вплив і шлях усунення. Написаний для CEO, рад, інвесторів і Enterprise-закупівель — не для інженерів.

Для вашого CEO, вашої ради, інвесторів, контрагентів M&A та ваших клієнтів

Звіт про повторне тестування

Перевірений доказ того, що виправлення працюють.

Після того як ваша команда усуне знахідки, ми перевіряємо кожну тим самим способом експлуатації, щоб підтвердити, що виправлення тримається. Оновлений звіт — ваш доказ того, що вразливості справді закрито, а не «закрито» на папері.

Для ваших аудиторів, ваших Enterprise-клієнтів

Сертифікат безпеки

Публічний артефакт, який можна показати клієнтам і потенційним замовникам.

Після усунення та повторного тестування ми видаємо офіційний сертифікат, що підтверджує: продукт пройшов глибокий ручний пентест. Використовуйте його на сайті, в анкетах безпеки, у переговорах із Enterprise — це той документ, який хочуть бачити ваші потенційні клієнти та їхні закупівлі.

Для вашого відділу продажу, маркетингу, потенційних Enterprise-клієнтів

Як ми досягаємо ваших цілей

Галузеві стандарти, виконані senior-інженерами.

Стандарти

Методології, яких дотримуємося

  • OWASP
  • PTES
  • NIST SP 800-115
  • MITRE ATT&CK

Вимоги compliance, які закриваємо

  • SOC 2
  • ISO 27001
  • GDPR
  • HIPAA
  • PCI DSS

Принципи, на яких будуємо роботу

Ручний хакінг

Сканери — лише базовий рівень. Кожна знахідка зібрана та підтверджена senior-інженером — експлуатована й об'єднана в ланцюжки вручну, з урахуванням контексту вашої платформи.

Циклічно, а не лінійно

Кожна знахідка живить наступну. Новий доступ відкриває нову поверхню атаки. Ми повертаємося, копаємо глибше та вибудовуємо ланцюжки — поки не досягнемо максимального впливу, який дозволяє ваша архітектура.

Бізнес-вплив, а не список багів

Список CVE не каже, що атакуючий реально зробить із вашим бізнесом. Ми переводимо кожну знахідку в сценарій реального світу — що компрометується, хто що втрачає та як розгортається ланцюжок.

Лише senior-інженери

Жодних джунів, що вчаться на вашому продукті, жодного аутсорсу для підстраховки, жодної заміни інженерів посеред проєкту. Кожним проєктом керують senior-інженери наступальної безпеки з глибоким досвідом у B2B SaaS.

Якість важливіша за швидкість

Ми не конвеєр, оптимізований під пропускну здатність. Беремо менше проєктів одночасно й глибоко занурюємось у кожен — це свідомий вибір.

Не нашкодити

Усі тести відбуваються за підписаним Rules of Engagement. Дії з високим ризиком у продакшені заздалегідь узгоджуємо з вами. Critical-знахідки запускають негайне сповіщення — без сюрпризів і поламаних середовищ.

Застосовні знахідки, нуль false-positive

Кожна знахідка перевірена, пріоритизована та задокументована з кроками відтворення та рекомендаціями. Ваші інженери точно знають, що чинити першим — і не марнують день на шум.

Комунікація інженер–інженер

Прямий доступ до наших інженерів упродовж усього проєкту. Жодних посередників із продажів, жодних project-менеджерів, що фільтрують технічні деталі.

Хакінг як ремесло

Ми наймаємо інженерів, які хакають у вільний час — для рисерчу, для CTF, заради самого ремесла. Наша команда сприймає кожен проєкт як задачу, яку треба розв'язати, а не тікет, який треба закрити.

Від вашого першого повідомлення до фінального сертифіката

Структурований проєкт, побудований навколо вашої команди: senior-інженери, пряма комунікація, нуль сюрпризів.

  1. Перша розмова

    Що відбувається
    • Ви пишете нам — дзвінком, формою або email, як вам зручніше
    • Відповідає senior-інженер (не sales-менеджер)
    • Разом визначаємо цілі та скоуп проєкту
    • Чесно говоримо, чи підходимо ми вам і що реально варто тестувати
    Ви отримуєте Чітку відповідь щодо напрямку — і чи підходимо ми одне одному — до підписання чого-небудь.

  2. Скоуп і комерційна пропозиція

    Що відбувається
    • Технічна сесія з вашою командою, щоб зрозуміти архітектуру, ролі та поверхню застосунку
    • Проводимо вас по зразку звіту, щоб ви точно знали, як виглядають артефакти
    • Ви отримуєте детальну комерційну пропозицію: скоуп, підхід, терміни, ціна
    Ви отримуєте Повну пропозицію та зразок звіту, які можна показати вашим CTO, CISO, CEO й закупівлям перед ухваленням рішення.

  3. Kick-off

    Що відбувається
    • Підписано контракт і NDA
    • Підписано Rules of Engagement — чіткі межі: що тестуємо, коли і як
    • Видача доступів і передача документації
    • На проєкт призначається senior-інженерна команда та проводиться її бриф
    Ви отримуєте Підписаний контракт, документ Rules of Engagement, підсумок kick-off-зустрічі.

  4. Розвідка та моделювання загроз

    Що відбувається
    • Пасивний збір інформації за вашою публічною поверхнею
    • Картування архітектури — як побудований застосунок і де зони найбільшого ризику
    • Модель загроз: що варто атакувати та як реально підходитиме до вашого продукту атакуючий
    • На час проєкту піднімається прямий канал інженер–інженер
    Ви отримуєте Якщо на цьому етапі виринає щось термінове — повідомляємо негайно. В іншому ж — цей етап прямо живить подальші тести.

  5. Активна експлуатація

    Що відбувається
    • Ручний хакінг, пошук та експлуатація вразливостей
    • Складання ланцюжків атак з кількох знахідок
    • Оцінка впливу для кожної знахідки перед експлуатацією в продакшені
    • Постійний цикл: кожен новий доступ відкриває нову поверхню, ми йдемо глибше
    Ви отримуєте Якщо знаходимо критичний шлях атаки, який легко експлуатувати та потребує негайних дій, ви отримуєте Терміновий проміжний звіт — сповіщення з кроками відтворення та рекомендованою відповіддю. Ми продовжуємо тестувати, ви починаєте усувати паралельно.

  6. Передача основного звіту

    Що відбувається
    • Знахідки консолідовано, перевірено та задокументовано
    • Підготовлено Технічний звіт і Стислий звіт для керівництва
    • Дорожню карту усунення пріоритизовано
    Ви отримуєте Технічний звіт (для ваших інженерів) і Стислий звіт для керівництва (для ради, Enterprise-клієнтів та аудиторів).

  7. Дебриф

    Що відбувається
    • Розбір знахідок із вашою інженерною командою
    • Розбір бізнес-впливу з вашим керівництвом
    • Q&A щодо пріоритетів усунення — що чинити першим і чому
    Ви отримуєте Пріоритизовану дорожню карту усунення та прямі відповіді на питання вашої команди.

  8. Супровід усунення

    Що відбувається
    • Підтримка ваших розробників упродовж усього циклу виправлень
    • Роз'яснення векторів атак і підходів до усунення
    • Темп задає ваша команда — ми не підганяємо й не затягуємо
    Ви отримуєте Технічний супровід під час усунення в межах вашого проєкту.

  9. Повторне тестування та фінальний сертифікат

    Що відбувається
    • Кожна усунена знахідка повторно перевіряється тим самим способом експлуатації
    • Перевіряємо, що виправлення дійсно тримає — не «полагоджено» на папері
    • Видаються оновлені звіти та сертифікат безпеки
    Ви отримуєте Звіт про повторне тестування, оновлений Технічний звіт і ваш Сертифікат безпеки.

Визнані галуззю

Топові рейтинги на галузевих платформах

  • Top Clutch — Application Security Company 2026
  • Clutch Fall Champion 2025
  • Top Clutch — Penetration Testing 2026
  • Top Penetration Testing 2024 Award

Сертифікації наших інженерів

  • OSCP+
  • CRTL
  • BSCP
  • OSEP
  • CEH
  • PNPT

Їхніми власними словами

Enterprise · незалежний аудит
XRAY CyberSecurity надали комплексний, добре структурований звіт із практичними рекомендаціями щодо посилення безпеки нашого застосунку. Ми отримали два звіти — детальний Технічний та окремий для керівництва — що дало змогу швидко презентувати результати топ-менеджменту та скласти план дій. Готовність напряму спілкуватися з нашими підрядниками суттєво пришвидшила усунення.
Iryna Grynchii Cybersecurity Manager · Danone Повний відгук на Clutch →
SaaS · email-платформа
XRAY CyberSecurity провели пентест наших продуктів, побудованих на різних технологіях. Ми виявили вразливості, усунули їх та отримали підтвердження через повторне тестування, що їх закрито. Спілкування з командою радше нагадувало роботу з колегами, ніж зі стороннім підрядником — професіонали, експерти, дали цінні поради.
Oleg Bida Information Security Manager Повний відгук на Clutch →
SaaS · LMS-платформа
XRAY CyberSecurity провели grey-box пентест за методологією OWASP. Їхній ретельний ручний аналіз виявив вразливості, що заслуговують уваги, а детальні технічний та executive-звіти — з подальшим повторним тестуванням, що підтвердило усунення — дали нам змогу пройти сертифікацію за ISO 27001.
Alex Slubskyi CTO · Davintoo Повний відгук на Clutch →
SaaS · логістична платформа
XRAY CyberSecurity провели ретельну оцінку наших веб-застосунків і хмарних середовищ, моделюючи сценарії реальних атак. Детальні звіти містили зрозумілі, застосовні висновки, які суттєво покращили нашу security-postur, а вміння доносити складні знахідки в простій формі було неоціненним для нашої команди.
Taras Komenda CEO · MINT Innovations Повний відгук на LinkedIn →
Застосунок
Роботу виконано швидко та професійно. Фахівці XRAY CyberSecurity вказали на наші вразливі місця, що дало нам змогу покращити якість ПЗ. Ми отримали звіт із детальними сценаріями проникнення та технічними й організаційними рекомендаціями щодо усунення й запобігання.
Oleg Khavruk IT Director · Nash Format Повний відгук на Forbes →
5/5 на Clutch читати всі відгуки

Готові тестувати ваш API?

Зв’язатися Записатися на дзвінок

Поширені запитання

Чим це відрізняється від вашого пентесту застосунків?

Тест застосунку зосереджений на вебзастосунку — UI-потоки, людські процеси, проблеми на стороні клієнта — і покриває API за ним як частину цієї поверхні. Цей проєкт розглядає API як основну ціль: авторизація на рівні ендпоінтів, зловживання схемою та методами і machine-to-machine автентифікація — на глибині, якої тест через UI не сягає. Якщо ваш API — це продукт або інтерфейс для партнерів, це правильний скоуп.

У нас є специфікація OpenAPI/GraphQL — це щось змінює?

Це нас прискорює. Специфікація дозволяє системно покрити кожен задокументований ендпоінт, метод і параметр замість того, щоб їх вгадувати. Але ми не зупиняємося на специфікації — незадокументовані, застарілі й тіньові ендпоінти часто й є тим, де ховаються справжні знахідки, тож ми шукаємо і їх.

Чому це потребує спеціаліста — хіба будь-який пентестер не покриє API?

API ховає ризик в авторизації на рівні об’єктів і функцій на кожному ендпоінті: довести, що користувач A може дістатися даних користувача B — це повільна, ручна робота над кожним об’єктом. Проєкт широкого скоупу, що покриває мережу, застосунок і API за один прохід, рідко сягає такої глибини, перш ніж закінчиться час. Ми тестуємо API як сфокусовану дисципліну, тож сягаємо — і саме звідти беруться важливі знахідки.

Чи вплине тестування на наше продакшн-середовище?

Тестування виконується за підписаними Правилами проведення (Rules of Engagement). Ми контролюємо обсяг запитів, щоб уникнути проблем із навантаженням, а дії з високим ризиком — усе, що змінює продакшн-дані чи навантажує ліміти частоти — узгоджуються та схвалюються до виконання. Тестові середовища теж підходять, якщо вони відображають авторизацію продакшену.

Як ви забезпечуєте й тестуєте ізоляцію між тенантами?

Ми просимо облікові дані щонайменше у двох окремих тенантах/акаунтах і системно намагаємося отримати міжтенантний доступ на рівні об’єктів і функцій. Довести (або спростувати), що тенант A не може торкнутися даних тенанта B — один із найцінніших результатів тесту API.

Як ви забезпечуєте конфіденційність, наші дані та юридичну відповідальність?

Підписаний NDA та договір з повною корпоративною відповідальністю. Будь-які дані, повернені API під час тестування, зберігаються зашифрованими, доступні лише призначеним інженерам і видаляються після проєкту згідно з вашим договором. Ми маємо страхування професійної відповідальності.

Скільки зусиль це вимагає від нашої команди?

Налаштування зосереджене на початку — облікові дані по ролях і тенантах, специфікація, якщо вона є, і короткий огляд того, як API має використовуватися. Далі — нечасті уточнювальні запитання. Час на усунення з вашого боку — більша інвестиція, яку ми підтримуємо напряму.

А якщо ви нічого не знайдете?

Для API це рідкість — прогалини авторизації трапляються часто — але якщо так стається, чистий результат від команди senior-рівня є показовим. Ви все одно отримуєте повний набір артефактів, що документують протестовані ендпоінти, методи та шляхи авторизації — артефакт, який потрібен вашому аудитору чи клієнту.

Чи включене повторне тестування і чи є приховані платежі?

Ціна в пропозиції фіксована й прописана в договорі під узгоджений скоуп. Повторне тестування після усунення включене, з оновленим звітом і Сертифікатом безпеки. Єдине, що змінює ціну — це розширення скоупу з вашого боку — більше ендпоінтів, сервісів чи середовищ — узгоджене письмово до початку будь-яких робіт.

Поговоримо.

Розкажіть про задачу, яку хочете розв’язати.

Або одразу забронюйте 20-хвилинний дзвінок