Diseño de una metodología de Pentesting para APIs RESTful basada en los cinco principales riesgos del OWASP API Security Top 10 (2023)

Abstract

La presente investigación aborda la seguridad crítica en arquitecturas de software modernas, centrándose específicamente en el análisis de vulnerabilidades dentro de Interfaces de Programación de Aplicaciones (API) bajo el estándar REST. Ante la creciente brecha entre las amenazas teóricas y la implementación práctica de medidas defensivas, este estudio tuvo como objetivo principal la identificación y mitigación de riesgos en endpoints inseguros mediante la ejecución de pruebas de penetración controladas. La metodología empleada consistió en el despliegue de un laboratorio virtualizado y aislado (utilizando VirtualBox y Docker), el cual alojó la aplicación deliberadamentevulnerable VAmPI. Se adoptó un enfoque de auditoría híbrido, integrando la eficiencia del escaneo automatizado mediante OWASP ZAP, con la precisión del análisis manual a través de Burp Suite. Los resultados experimentales permitieron la detección y explotación de fallos críticos alineados con elOWASP API Security Top 10, tales como Broken Object Level Authorization (BOLA), Inyección SQL y exposición masiva de datos sensibles. El trabajo concluye que la combinación de validación humana y herramientas automatizadas es indispensable para garantizar la confidencialidad, integridad y disponibilidad de la información, proporcionando un marco de recomendaciones técnicas para robustecer el ciclo de desarrollo de software seguro. This research addresses critical security challenges in modern software architectures, focusing specifically on the analysis of vulnerabilities within Application Programming Interfaces (APIs) built under the REST standard. In response to the growing gap between theoretical threats and the practical implementation of defensive measures, the primary objective of this study was to identify and mitigate risks in insecure endpoints through the execution of controlled penetration tests. The methodology involved the deployment of a virtualized and isolated laboratory environment (using VirtualBox and Docker), which hosted the deliberately vulnerable application VAmPI. A hybrid auditing approach was adopted, integrating the efficiency of automated scanning with OWASP ZAP and the precision of manual analysis using Burp Suite. Experimental results enabled the detection and exploitation of critical flaws aligned with the OWASP API Security Top 10, such as Broken Object Level Authorization (BOLA), SQL Injection, and excessive exposure of sensitive data. The study concludes that combining human-driven validation with automated tools is essential to ensure the confidentiality, integrity, and availability of information, providing a technical framework of recommendations to strengthen the secure software development lifecycle.