API pentest

API’s vormen de ruggengraat van moderne applicaties — en zijn een steeds vaker aangevallen doelwit. Een API pentest helpt u kwetsbaarheden vroeg te ontdekken, voordat ze worden misbruikt.

Waarom een API pentest?

API’s bevatten regelmatig kwetsbaarheden die traditionele webapplicatie-scans missen: broken object level authorization (BOLA), onveilige authenticatiestromen en te uitgebreide data-responses. De OWASP API Security Top 10 beschrijft de meest kritieke risico’s — en precies die testen wij.

Wat testen wij?

• Broken Object Level Authorization (BOLA/IDOR) — kan een gebruiker data van andere gebruikers opvragen door een ID aan te passen?
• Broken Authentication — onveilige token-validatie, JWT-misconfiguraties, zwakke API keys
• Broken Object Property Level Authorization — te veel data teruggestuurd of te veel velden aanpasbaar
• Unrestricted Resource Consumption — rate-limiting ontbreekt, abuse-scenario’s mogelijk
• Business logic flaws — processtappen overslaan, prijsmanipulatie, race conditions
• Security Misconfiguration — debug-endpoints, te brede CORS-instellingen, verbose foutmeldingen
• Injection — SQL, NoSQL, command injection via API-parameters

Ondersteunde API-types

• REST API’s (JSON/XML)
• GraphQL
• SOAP / WSDL
• gRPC (op aanvraag)
• Interne API’s en microservices

Aanpak

Wij hanteren standaard een grey box aanpak: u verstrekt documentatie (Swagger/OpenAPI spec, Postman collection) en een testaccount. Dit maakt de test efficiënter en realistischer — wij simuleren een aanvaller die een account heeft bemachtigd.

Voor een diepgaande review inclusief broncode-analyse bieden wij ook een white box API pentest aan. Meer uitleg op de pagina pentestmethodologie.

Voor wie

• SaaS-bedrijven met een publieke of besloten API
• Organisaties die een API aanbieden aan zakelijke klanten of partners
• Development-teams die een nieuwe API-versie willen laten toetsen
• Organisaties die moeten voldoen aan ISO 27001, NIS2 of PCI DSS

FAQ

Kunnen jullie ook interne API’s testen?

Ja, mits er veilige toegang en een duidelijke scope beschikbaar is. Wij werken dan via VPN of een testomgeving.

Is dit hetzelfde als een webapplicatie pentest?

Nee. Een webapplicatie pentest richt zich op de gebruikersinterface en onderliggende logica. Een API pentest richt zich specifiek op de API-laag en de aanvalsscenario’s die daarvoor relevant zijn. Beide kunnen worden gecombineerd.

Wat heb ik nodig om te starten?

Een API-documentatie (Swagger/OpenAPI of Postman collection), een testomgeving of staging-environment, en een testaccount. Geen broncode vereist voor een grey box test.

Hoe lang duurt een API pentest?

Doorgaans 1 tot 3 werkdagen, afhankelijk van het aantal endpoints en de complexiteit van de autorisatielogica.

Gerelateerd: webapplicatie pentest  ·  SaaS pentest  ·  offerte aanvragen

Compliance & sector-specifieke pentests

Werkt uw organisatie met specifieke regelgeving? Wij voeren pentests uit die aansluiten op de eisen van uw branche.

• DigiD pentest & ICT-beveiligingsassessment — verplicht voor organisaties met DigiD-koppeling
• ISO 27001 pentest — ondersteuning bij certificering
• NIS2 pentest — technische toets voor NIS2-plichtige organisaties
• PCI DSS pentest — verplichte test voor betaalomgevingen
• Pentest overheid — BIO-aligned voor de publieke sector
• Pentest zorg — NEN 7510 en AVG-gericht
• SaaS pentest — voor software- en platformbedrijven