API'ler (Uygulama Programlama Arayüzleri) modern yazılım sistemlerinin bel kemiğidir ve uygulamalar arasında iletişim sağlar. Ancak bu arayüzler daha yaygın olarak kullanıldıkça siber saldırıların da hedefi haline gelmektedir. API testi sadece geliştirme sırasında rutin bir kalite kontrolü değildir; sisteminizin güvenliğini korumada çok önemli bir rol oynar.
Bu kılavuz API testinin ne olduğu, neden önemli olduğu, içerdiği riskler ve API'nizi güvenli ve verimli tutmak için en iyi uygulamalar konusunda size yol gösterecektir. API'nizin en yüksek standartları karşılamasını sağlamak için hem işlevsel testleri hem de güvenlik önlemlerini inceleyeceğiz.
API Testi Nedir?
API testi, bir API'nin işlevselliğini, performansını ve güvenliğini doğrulama sürecini ifade eder ve API'lerin yalnızca verileri doğru şekilde döndürmesinden daha fazlasını yapmasını sağlar; ayrıca yetkisiz erişim, veri sızıntısı, SQL enjeksiyonu gibi potansiyel güvenlik açıklarına karşı da güvenli olmaları gerekir. Siteler arası komut dosyası oluşturma (XSS).
API Türleri ve Testte Öncelikler
Tüm API'ler aynı değildir ve farklı türlerin farklı seviyelerde güvenlik ihtiyaçları ve test öncelikleri vardır:
| API Türü | Özellikler | Test Odağı |
|---|---|---|
| Açık API | Herkese açık, asgari düzeyde veya hiç kimlik doğrulama gerektirmeyen | Yüksek Güvenlik Önceliği |
| Dahili API | İletişim için dahili sistemler içinde kullanılır | Orta Güvenlik Önceliği |
| İş Ortağı API'si | Sadece belirli ortaklar tarafından erişilebilir | Yüksek Güvenlik ve Uyumluluk |
| Bileşik API | Birden fazla API'yi birleştirir, yapı olarak daha karmaşıktır | Yüksek İşlevsellik Önceliği |
API Testinin Temel Hedefleri
İşlevsel Doğruluk
Her şeyden önce, API'nin geçerli girdilere doğru yanıt verdiğini ve HTTP durum kodlarını, yanıt veri formatını ve API belgeleriyle veri tutarlılığını kontrol etmeyi içeren beklenen çıktıları sağladığını doğrulamak çok önemlidir.
Güvenlik Doğrulaması
Güvenlik de API testinin kritik bir unsurudur ve kimlik doğrulama yöntemleri (API anahtarları, OAuth, JWT), veri şifreleme ve HTTPS kullanarak güvenli iletim ve SQL enjeksiyonları ve siteler arası komut dosyası oluşturma (XSS) gibi yaygın saldırılara karşı koruma gibi temel hususları içerir.
Performans ve Güvenilirlik
API'ler yüksek trafik yüklerini kaldırabilmelidir ve stres altında iyi performans gösterdiklerinden emin olmak için testler yoğun kullanımı simüle etmelidir. Kötüye kullanımı önlemek için hız sınırlamasının mevcut olduğunu ve yük altında yanıt sürelerinin kabul edilebilir kaldığını doğrulamak da önemlidir.
API Test Süreci
Test Hazırlığı
Teste başlamadan önce, API belgelerini gözden geçirmek, uygun bir test ortamı kurmak ve test sürecinin sorunsuz bir şekilde yürütülmesini sağlamak için belirteçler ve API anahtarları gibi gerekli tüm kimlik bilgilerini toplamak çok önemlidir.
Fonksiyonel Test Örneği
Gibi araçlar Postacı veya cURL API testi için yaygın olarak kullanılır. Bir API'yi şu şekilde test edebilirsiniz cURL:
# cURL kullanarak bir GET isteği gönderme
curl -X GET "" \\\\
-H "Authorization: Taşıyıcı " \\\\
-H "Accept: application/json"
Bir API'yi test ederken, 200, 404 ve 500 gibi doğru HTTP durum kodlarını döndürdüğünden emin olmak, döndürülen verilerin yapısının beklenen formatla eşleştiğini doğrulamak ve dahili bilgilerin açığa çıkmasını önlerken herhangi bir hata mesajının kullanıcı dostu olduğundan emin olmak önemlidir.
Güvenlik Testi Örneği
SQL Enjeksiyon Testi
i̇thalat talepleri̇
payload = "' VEYA '1'='1"
url = f""
yanıt = requests.get(url)
if "sql" in response.text.lower() or response.status_code == 500:
print("⚠️ Potansiyel SQL enjeksiyon açığı tespit edildi")
else:
print("✅ Girdi doğrulaması geçti")
API testi yaparken, hassas veritabanı hata mesajlarının asla döndürülmediğinden emin olun ve sorgu sonuçlarının kötü niyetli girdilerle manipüle edilemeyeceğini doğrulayın.
API Testinde Sık Karşılaşılan Güvenlik Riskleri
API'leri test ederken, API'lerin kolayca tahmin edilebilir anahtarlara veya şifrelere sahip olduğu zayıf kimlik doğrulama, API'leri sanitize edilmemiş girdiler nedeniyle saldırılara karşı savunmasız bırakan girdi doğrulama eksikliği, hassas bilgilerin istemeden açığa çıktığı veri sızıntısı, API'leri kaba kuvvet veya hizmet reddi saldırılarına duyarlı hale getiren hız sınırlamasının olmaması ve ayrıntılı hata mesajlarının hassas sistem bilgilerini açığa çıkardığı aşırı hata gösterimi gibi çeşitli yaygın güvenlik risklerinin farkında olmak önemlidir.
API Testi için Önerilen Araçlar
| Alet | Açıklama | İçin En İyisi |
|---|---|---|
| Penligent | Yapay zeka destekli API güvenlik ve güvenlik açığı analiz aracı | Otomatik API güvenlik testi, tehdit algılama |
| Postacı | Kapsamlı API test aracı | Fonksiyonel test, hızlı doğrulama |
| OWASP ZAP | Açık kaynaklı güvenlik tarayıcısı | Güvenlik açığı tespiti |
| Geğirme Süiti | Sızma testi araç seti | Gelişmiş güvenlik testi |
| JMeter | Yük testi ve performans | Yük testi, stres testi |
| RestAssured | Java tabanlı otomasyon aracı | Sürekli entegrasyon (CI) testi |
API Testi için En İyi Uygulamalar
API testinizin mümkün olduğunca kapsamlı olmasını sağlamak için OWASP API Güvenliği İlk 10 En yaygın güvenlik açıklarını azaltmak için HTTPS kullanın ve aktarım sırasında verileri korumak için TLS şifrelemeyi yapılandırın, erişimi yalnızca gerekli olanlarla sınırlandırarak En Az Ayrıcalık İlkesini uygulayın, API'ler için net sürüm oluşturma stratejileri benimseyin ve eski sürümleri uygun şekilde kullanımdan kaldırın, sürekli güvenlik kontrolleri için otomatik testleri CI/CD işlem hattınıza entegre edin ve güvenlik açıklarını proaktif olarak bulmak ve ele almak için düzenli sızma testleri ve güvenlik denetimleri gerçekleştirin.
