Fundamentos Seguridad API
Testing seguridad API valida autenticación, autorización, validación entrada y mecanismos protección datos.
OWASP API Security Top 10
- Broken Object Level Authorization (BOLA/IDOR)
- Broken Authentication
- Broken Object Property Level Authorization
- Unrestricted Resource Consumption
- Broken Function Level Authorization
Testing OAuth 2.0
class OAuthFlowTester:
def test_authorization_flow(self):
# Paso 1: Obtener código autorización
params = {
'response_type': 'code',
'client_id': self.client_id,
'redirect_uri': 'http://localhost:3000/callback'
}
# Paso 2: Intercambiar código por token
token_response = requests.post(self.token_url, data={
'grant_type': 'authorization_code',
'code': auth_code
})
assert 'access_token' in token_response.json()
Testing JWT
// JWT testing
const jwt = require('jsonwebtoken');
// Test JWT expirado
function testExpiredJWT() {
const token = jwt.sign({ userId: 123 }, secret, { expiresIn: '-1s' });
try {
jwt.verify(token, secret);
console.error('✗ JWT expirado fue aceptado!');
} catch (err) {
console.log('✓ JWT expirado correctamente rechazado');
}
}
Testing API Keys
class APIKeyTester:
def test_api_key_in_header(self, api_key):
response = requests.get(
f"{self.base_url}/api/data",
headers={'X-API-Key': api_key}
)
assert response.status_code == 200
def test_rate_limiting(self, api_key):
for i in range(110):
response = requests.get(url, headers={'X-API-Key': api_key})
# Debe alcanzar rate limit
assert 429 in responses
Testing Autorización (BOLA/IDOR)
def test_bola():
# Token Usuario A
token_a = 'user_a_token'
# Intentar acceder recurso Usuario B
response = requests.get(
f'https://api.example.com/users/456/profile',
headers={'Authorization': f'Bearer {token_a}'}
)
# Debe retornar 403 Forbidden
assert response.status_code == 403
Conclusión
Testing seguridad API es crítico para proteger datos sensibles y prevenir acceso no autorizado. Testear sistemáticamente mecanismos autenticación, controles autorización y validación entrada asegura que APIs resistan ataques comunes.