APIs lidam com tokens de autenticacao, dados de pagamento e informacoes pessoais. Sao a superficie mais exposta da sua aplicacao.
OWASP API Security Top 10
| # | Vulnerabilidade | O que significa |
|---|---|---|
| 1 | BOLA | Usuario A acessa dados do Usuario B mudando o ID |
| 2 | Auth quebrada | Mecanismos de auth fracos, tokens sem validacao |
| 3 | Mass assignment | Usuario pode modificar campos que nao deveria |
| 4 | Sem rate limiting | Permite DoS e brute force |
| 5 | Auth de funcoes quebrada | Usuario normal acessa endpoints admin |
Ferramentas
OWASP ZAP (gratis), Burp Suite ($449/ano), Postman, 42Crunch, StackHawk.
Teste vs Monitoramento de seguranca
Nurbak Watch detecta spikes de erros 401/403 em tempo real — possiveis ataques de brute force. Alertas WhatsApp em 10 segundos. Gratis na beta.