// pentest / web / api / evidence

Web/API Pentest

Вертикаль про реальный web/API-пентест, где важны не только surface и payload, но и authenticated coverage, role/state matrix, lifecycle объекта, session trust, evidence packs и честные coverage gaps. Это уже не сканер, а проверяемая методология.

stream.map
inventory -> role/state coverage -> evidence pack -> fix -> retest
Web/API Pentest
Синтетическая research-схема для отдельного потока материалов Virusologia.

// updated 05.07.2026

Что должен уметь этот поток

// focused stream

Материалы потока

WEB/API 05.07.2026

API/BOLA: почему две роли важнее ещё одного сканера

IDOR/BOLA редко находится красивым payload. Чаще он проявляется там, где у API есть object id, две роли, разные владельцы данных и слабая проверка на уровне объекта.

читать разбор →
WEB/API 05.07.2026

Shadow API: когда HAR знает больше, чем OpenAPI

Самая неприятная API-проблема не всегда выглядит как уязвимость. Часто это просто несоответствие между документацией, релизом и реальным трафиком: старый endpoint живёт, новый не описан, а ограничения доступа различаются.

читать разбор →
IDENTITY 05.07.2026

Passkeys не чинят сессию сами по себе

Passkeys отлично убирают часть password risk, но они не решают автоматически вопросы session fixation, recovery bypass, weak step-up и долгоживущих cookies. После WebAuthn всё равно остаётся инженерия доверия.

читать разбор →
WEB/API 05.07.2026

Authenticated API coverage: без role-matrix бизнес-логика остаётся в тени

Большая часть настоящей ценности API-пентеста появляется только после аутентификации. Именно там находятся object boundaries, approval flows, hidden exports, admin-adjacent methods и различия между тем, что видно владельцу, оператору и аудитору.

читать разбор →
WEB/API 05.07.2026

Web/API evidence pack: хороший finding должен переживать спор

Сильный web/API-отчёт отличается не числом находок, а качеством доказательства. Когда finding можно воспроизвести по request/response trace, curl, hash, role/state notes и критерию ретеста, спор о его реальности быстро заканчивается.

читать разбор →

// working logic

Рабочая логика

Хороший web/API-аудит движется по цепочке: inventory, roles, state, differential evidence, remediation, retest. Если один из этапов пропущен, finding теряет инженерную силу.

logic.flow
inventory -> role/state coverage -> evidence pack -> fix -> retest

// related

Связанные разделы