api-security
API Security
Sécurité des API REST, GraphQL et gRPC : OWASP API Top 10, BOLA, BFLA, OAuth 2.0, JWT, rate limiting, API gateways, schema-based testing.
Introduction
Les API sont devenues le tissu conjonctif des applications modernes : mobile, SPA, SaaS inter-connectés, partenaires B2B, microservices, agents AI. Elles exposent la logique métier et les données, mais portent des vulnérabilités spécifiques que l'OWASP Top 10 web classique ne couvre pas entièrement. C'est pourquoi l'OWASP maintient depuis 2019 un **API Security Top 10** dédié (mis à jour en 2023). Cette catégorie rassemble les ressources techniques Zeroday sur la sécurité des API : OWASP API Top 10 (BOLA, Broken Authentication, BFLA, Mass Assignment, Server Side Request Forgery, Improper Inventory Management), authentification (OAuth 2.0 flows, JWT pièges, API keys, mTLS), autorisation fine, rate limiting, schema-based testing (OpenAPI, GraphQL introspection), API gateways (Kong, Apigee, AWS API Gateway, Azure API Management), WAAP et API-specific protection (Traceable, Salt, Noname, Wallarm), GraphQL security, gRPC security, gestion de l'inventaire (shadow APIs, zombie APIs), webhook security. Public cible : développeurs back-end, AppSec engineers, DevSecOps, API designers, architectes sécurité, pentesters qui testent des API.Tous les articles API Security
Envie d'aller plus loin ?
Passe de la théorie à la maîtrise opérationnelle avec un accompagnement terrain.