Sicurezza REST e Sicurezza API sono eccellenti argomenti di ricerca.
Questa domanda e le risposte forniscono buoni spunti per trovare ottimi strumenti e tecniche per testare queste interfacce - Metodologie di test della sicurezza API
Se fossi in te, eviterei di testare un'interfaccia REST o la sicurezza di una API da remoto, o tramite una tecnica black-box come i test di sicurezza delle app dinamici. Quello che vuoi è analizzare le decisioni di progettazione (questo post sul blog è un ottimo riferimento con esempi di codice .NET e consigli sui componenti) e / o eseguire una revisione sicura del codice. Uno strumento che uso abitualmente per eseguire revisioni di codice protette è Trova i bug di sicurezza . Per analizzare i componenti, è Controllo dipendenza OWASP (con supporto per più lingue), bundler-audit per Ruby, Retire.js (o Snyk.io ) per JavaScript e OWASP SafeNuGet per progetti .NET.