Web API Pentesting

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:

API Pentesting Metodologie Opsomming

Pentesting API's behels 'n gestruktureerde benadering tot die ontdekking van kwesbaarhede. Hierdie gids sluit 'n omvattende metodologie in, wat praktiese tegnieke en gereedskap beklemtoon.

Begrip van API Tipes

  • SOAP/XML Web Dienste: Gebruik die WSDL-formaat vir dokumentasie, wat tipies by ?wsdl paaie gevind word. Gereedskap soos SOAPUI en WSDLer (Burp Suite Extension) is noodsaaklik vir die ontleding en generering van versoeke. Voorbeeld dokumentasie is beskikbaar by DNE Online.

  • REST API's (JSON): Dokumentasie kom dikwels in WADL-lêers, maar gereedskap soos Swagger UI bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. Postman is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeld versoeke.

  • GraphQL: 'n Vra taal vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.

Oefen Laboratoriums

  • VAmPI: 'n Opzetlik kwesbare API vir praktiese oefening, wat die OWASP top 10 API kwesbaarhede dek.

Doeltreffende Truuks vir API Pentesting

  • SOAP/XML Kwesbaarhede: Verken XXE kwesbaarhede, alhoewel DTD-verklarings dikwels beperk is. CDATA-tags mag payload-invoeging toelaat as die XML geldig bly.

  • Privilegie Eskalasie: Toets eindpunte met verskillende priviligie vlakke om ongeoorloofde toegang moontlikhede te identifiseer.

  • CORS Misconfigurasies: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanuit geverifieerde sessies.

  • Eindpunt Ontdekking: Gebruik API patrone om verborge eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.

  • Parameter Manipulasie: Eksperimenteer met die toevoeging of vervanging van parameters in versoeke om toegang tot ongeoorloofde data of funksies te verkry.

  • HTTP Metode Toetsing: Varieer versoekmetodes (GET, POST, PUT, DELETE, PATCH) om onverwagte gedrag of inligtingsontsluitings te ontdek.

  • Inhoud-Tipe Manipulasie: Wissel tussen verskillende inhoud tipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.

  • Gevorderde Parameter Tegnieke: Toets met onverwagte datatipe in JSON payloads of speel met XML data vir XXE inspuitings. Probeer ook parameter besoedeling en wildcard karakters vir breër toetsing.

  • Weergawe Toetsing: Ou API weergawes mag meer kwesbaar wees vir aanvalle. Kyk altyd vir en toets teen verskeie API weergawes.

Gereedskap en Hulpbronne vir API Pentesting

  • kiterunner: Uitstekend vir die ontdekking van API eindpunte. Gebruik dit om paaie en parameters teen teiken API's te skandeer en brute force.

kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
  • https://github.com/BishopFox/sj: sj is 'n opdraglyn hulpmiddel wat ontwerp is om te help met die oudit van blootgestelde Swagger/OpenAPI definisie lêers deur die geassosieerde API eindpunte vir swak outentisering te kontroleer. Dit bied ook opdrag sjablone vir handmatige kwesbaarheidstoetsing.

  • Bykomende hulpmiddels soos automatic-api-attack-tool, Astra, en restler-fuzzer bied op maat gemaakte funksies vir API sekuriteitstoetsing, wat wissel van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.

  • Cherrybomb: Dit is 'n API sekuriteitshulpmiddel wat jou API oudit op grond van 'n OAS lêer (die hulpmiddel is in rust geskryf).

Leer- en Praktiese Hulpbronne

  • OWASP API Sekuriteit Top 10: Essensiële leesstof om algemene API kwesbaarhede te verstaan (OWASP Top 10).

  • API Sekuriteit Kontrolelys: 'n Omvattende kontrolelys vir die beveiliging van API's (GitHub skakel).

  • Logger++ Filters: Vir die jag op API kwesbaarhede, bied Logger++ nuttige filters (GitHub skakel).

  • API Eindpunte Lys: 'n Gekureerde lys van potensiële API eindpunte vir toetsdoeleindes (GitHub gist).

Verwysings

Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se mees gevorderde gemeenskapshulpmiddels aangedryf word. Kry Toegang Vandag:

Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Last updated