Penetrationstest

Kunden hade byggt en mobilapp med ett REST API som backend och behövde en oberoende säkerhetsbedömning innan lansering. Testet utfördes som en black-box assessment - utan tillgång till källkod, precis som en verklig angripare skulle operera.

Metodiken följde OWASP API Security Top 10, OWASP Web Security Testing Guide och PTES. Testningen täckte autentisering, auktorisering, inputvalidering, affärslogik och konfiguration.

7 sårbarheter identifierades - 1 kritisk, 2 höga och 4 medelhöga. Varje fynd inkluderar CVSS-poäng och åtgärdsförslag.

Kritiskt fynd: Autentiseringsendpointen tillåter obegränsat antal inloggningsförsök utan rate limiting, kontolåsning eller CAPTCHA (CVSS 9.1). Höga fynd: Lagrad XSS i användarnamn (CVSS 8.1) och saknad e-postverifiering (CVSS 7.2). Medelhöga fynd: kontouppräkning via registrering, exponerad API-dokumentation, aktiva debug-endpoints och oautentiserad åtkomst till användardata.

Godkända kontroller: HTTPS med TLS 1.3, lösenordspolicy, admin privilege escalation blockerad, SQL Injection och Path Traversal ej sårbara, JWT-tokens korrekt signerade.