Aller au contenu

Vulnérabilités API

VulnAPI détecte un large éventail de vulnérabilités API, y compris celles du OWASP API Security Top 10.

✅ = scan automatisé disponible

NomOWASPGravitéScan Automatisé
Rupture d’autorisation au niveau de l’objet (BOLA)API1:2023 Broken Object Level AuthorizationMoyenne
Accès aux champs privésAPI1:2023 Broken Object Level AuthorizationMoyenne
Affectation de masseAPI1:2023 Broken Object Level AuthorizationMoyenne
Contournement de l’authentificationAPI2:2023 Broken AuthenticationÉlevée
Algorithme JWT noneAPI2:2023 Broken AuthenticationÉlevée
Secret JWT videAPI2:2023 Broken AuthenticationÉlevée
Secret JWT faibleAPI2:2023 Broken AuthenticationÉlevée
Attaque de relais inter-services via l’audience JWTAPI2:2023 Broken AuthenticationÉlevée
Signature JWT nulleAPI2:2023 Broken AuthenticationÉlevée
Injection d’en-tête JWT KIDAPI2:2023 Broken AuthenticationÉlevée
Confusion d’algorithme JWTAPI2:2023 Broken AuthenticationÉlevée
Signature JWT non vérifiéeAPI2:2023 Broken AuthenticationÉlevée
JWT expiréAPI2:2023 Broken AuthenticationÉlevée
OpenAPI détectableAPI7:2023 Server Side Request ForgeryInfo
Point de terminaison GraphQL détectableAPI7:2023 Server Side Request ForgeryInfo
Introspection GraphQL activéeAPI8:2023 Security MisconfigurationInfo
Fuite de secretsAPI8:2023 Security MisconfigurationÉlevée
Listage de répertoiresAPI8:2023 Security MisconfigurationMoyenne
Divulgation d’IP privéeAPI8:2023 Security MisconfigurationFaible
Mauvaise configuration des cookies HTTPAPI8:2023 Security MisconfigurationInfo
Absence d’en-têtes CORSAPI8:2023 Security MisconfigurationInfo
En-têtes CORS permissifsAPI8:2023 Security MisconfigurationInfo
Substitution de méthode HTTP activéeAPI8:2023 Security MisconfigurationInfo - Élevée
En-tête X-Content-Type-Options non définiAPI8:2023 Security MisconfigurationInfo
En-tête X-Frame-Options non définiAPI8:2023 Security MisconfigurationInfo
En-tête CSP non définiAPI8:2023 Security MisconfigurationInfo
Directive CSP frame-ancestors non définieAPI8:2023 Security MisconfigurationInfo
En-tête HSTS non définiAPI8:2023 Security MisconfigurationInfo
Méthodes HTTP TRACE/TRACK activéesAPI8:2023 Security MisconfigurationInfo
Fuite de signature du serveurAPI8:2023 Security MisconfigurationInfo
Certificat SSL non fiableAPI8:2023 Security MisconfigurationMoyenne
SSL non imposéAPI8:2023 Security MisconfigurationMoyenne
Traversée de répertoiresAPI10:2023 Unsafe Consumption of APIsÉlevée

Les scans de vulnérabilités JWT sont en partie propulsés par le projet CerberAuth JWTop.