Por onde vocês começariam a testar segurança de uma API FastAPI?
Fala, pessoal. Estou desenvolvendo um sistema web e queria pedir orientação sobre teste de segurança.
Contexto:
- Backend em FastAPI (Python), frontend em TypeScript
- Aplicação web, atualmente em beta
- HTTPS configurado
- Lida com dados sensíveis (informações de clientes, processos, documentos)
Meu problema: não tenho experiência em segurança de desenvolvimento e quero garantir que não estou deixando passar nada grave antes de escalar o beta.
O que eu já tenho: autenticação implementada, HTTPS, hash de senha.
Minhas dúvidas:
Por onde vocês começariam a testar segurança nesse cenário? Tem uma ordem de prioridade que faça sentido?
Como vocês validam controle de acesso (IDOR) de forma sistemática numa API FastAPI? Tem alguma abordagem além de testar endpoint por endpoint na mão?
Para um produto que lida com dados sensíveis e está saindo do beta, vale a pena contratar um pentest profissional já agora ou dá pra ir bem longe com ferramentas como OWASP ZAP primeiro?
Alguma armadilha comum de FastAPI especificamente que vocês recomendam revisar? (já vi gente comentar sobre /docs exposto, por exemplo)
Qualquer dica de recurso, checklist ou experiência é bem-vinda. Valeu!