Vulnérabilités API
VulnAPI détecte un large éventail de vulnérabilités API, y compris celles du OWASP API Security Top 10.
✅ = scan automatisé disponible
| Nom | OWASP | Gravité | Scan Automatisé |
|---|---|---|---|
| Rupture d’autorisation au niveau de l’objet (BOLA) | API1:2023 Broken Object Level Authorization | Moyenne | |
| Accès aux champs privés | API1:2023 Broken Object Level Authorization | Moyenne | |
| Affectation de masse | API1:2023 Broken Object Level Authorization | Moyenne | |
| Contournement de l’authentification | API2:2023 Broken Authentication | Élevée | ✅ |
Algorithme JWT none | API2:2023 Broken Authentication | Élevée | ✅ |
| Secret JWT vide | API2:2023 Broken Authentication | Élevée | ✅ |
| Secret JWT faible | API2:2023 Broken Authentication | Élevée | ✅ |
| Attaque de relais inter-services via l’audience JWT | API2:2023 Broken Authentication | Élevée | |
| Signature JWT nulle | API2:2023 Broken Authentication | Élevée | ✅ |
| Injection d’en-tête JWT KID | API2:2023 Broken Authentication | Élevée | ✅ |
| Confusion d’algorithme JWT | API2:2023 Broken Authentication | Élevée | ✅ |
| Signature JWT non vérifiée | API2:2023 Broken Authentication | Élevée | ✅ |
| JWT expiré | API2:2023 Broken Authentication | Élevée | |
| OpenAPI détectable | API7:2023 Server Side Request Forgery | Info | ✅ |
| Point de terminaison GraphQL détectable | API7:2023 Server Side Request Forgery | Info | ✅ |
| Introspection GraphQL activée | API8:2023 Security Misconfiguration | Info | ✅ |
| Fuite de secrets | API8:2023 Security Misconfiguration | Élevée | |
| Listage de répertoires | API8:2023 Security Misconfiguration | Moyenne | |
| Divulgation d’IP privée | API8:2023 Security Misconfiguration | Faible | |
| Mauvaise configuration des cookies HTTP | API8:2023 Security Misconfiguration | Info | ✅ |
| Absence d’en-têtes CORS | API8:2023 Security Misconfiguration | Info | ✅ |
| En-têtes CORS permissifs | API8:2023 Security Misconfiguration | Info | ✅ |
| Substitution de méthode HTTP activée | API8:2023 Security Misconfiguration | Info - Élevée | ✅ |
| En-tête X-Content-Type-Options non défini | API8:2023 Security Misconfiguration | Info | ✅ |
| En-tête X-Frame-Options non défini | API8:2023 Security Misconfiguration | Info | ✅ |
| En-tête CSP non défini | API8:2023 Security Misconfiguration | Info | ✅ |
| Directive CSP frame-ancestors non définie | API8:2023 Security Misconfiguration | Info | ✅ |
| En-tête HSTS non défini | API8:2023 Security Misconfiguration | Info | ✅ |
| Méthodes HTTP TRACE/TRACK activées | API8:2023 Security Misconfiguration | Info | ✅ |
| Fuite de signature du serveur | API8:2023 Security Misconfiguration | Info | ✅ |
| Certificat SSL non fiable | API8:2023 Security Misconfiguration | Moyenne | |
| SSL non imposé | API8:2023 Security Misconfiguration | Moyenne | |
| Traversée de répertoires | API10:2023 Unsafe Consumption of APIs | Élevée |
Les scans de vulnérabilités JWT sont en partie propulsés par le projet CerberAuth JWTop.