Web API Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Pentesting APIs involves a structured approach to uncovering vulnerabilities. This guide encapsulates a comprehensive methodology, emphasizing practical techniques and tools.
SOAP/XML Web Services: WSDL प्रारूप का उपयोग करें, जो आमतौर पर ?wsdl पथों पर पाया जाता है। SOAPUI और WSDLer (Burp Suite Extension) जैसे उपकरण अनुरोधों को पार्स और उत्पन्न करने में सहायक होते हैं। उदाहरण दस्तावेज़ DNE Online पर उपलब्ध है।
REST APIs (JSON): दस्तावेज़ अक्सर WADL फ़ाइलों में आता है, फिर भी Swagger UI जैसे उपकरण इंटरैक्शन के लिए अधिक उपयोगकर्ता-अनुकूल इंटरफ़ेस प्रदान करते हैं। Postman उदाहरण अनुरोध बनाने और प्रबंधित करने के लिए एक मूल्यवान उपकरण है।
GraphQL: APIs के लिए एक क्वेरी भाषा जो आपके API में डेटा का एक संपूर्ण और समझने योग्य विवरण प्रदान करती है।
VAmPI: एक जानबूझकर कमजोर API जो व्यावहारिक अभ्यास के लिए है, OWASP शीर्ष 10 API कमजोरियों को कवर करता है।
SOAP/XML Vulnerabilities: XXE कमजोरियों का अन्वेषण करें, हालांकि DTD घोषणाएँ अक्सर प्रतिबंधित होती हैं। यदि XML मान्य रहता है तो CDATA टैग पेलोड सम्मिलन की अनुमति दे सकते हैं।
Privilege Escalation: अनधिकृत पहुंच की संभावनाओं की पहचान के लिए विभिन्न विशेषाधिकार स्तरों के साथ एंडपॉइंट्स का परीक्षण करें।
CORS Misconfigurations: CSRF हमलों के माध्यम से संभावित शोषण के लिए CORS सेटिंग्स की जांच करें।
Endpoint Discovery: छिपे हुए एंडपॉइंट्स की खोज के लिए API पैटर्न का लाभ उठाएं। फज़र्स जैसे उपकरण इस प्रक्रिया को स्वचालित कर सकते हैं।
Parameter Tampering: अनधिकृत डेटा या कार्यक्षमताओं तक पहुंचने के लिए अनुरोधों में पैरामीटर जोड़ने या बदलने का प्रयोग करें।
HTTP Method Testing: अप्रत्याशित व्यवहार या जानकारी के खुलासे को उजागर करने के लिए अनुरोध विधियों (GET, POST, PUT, DELETE, PATCH) में भिन्नता लाएं।
Content-Type Manipulation: पार्सिंग समस्याओं या कमजोरियों के परीक्षण के लिए विभिन्न सामग्री प्रकारों (x-www-form-urlencoded, application/xml, application/json) के बीच स्विच करें।
Advanced Parameter Techniques: JSON पेलोड में अप्रत्याशित डेटा प्रकारों के साथ परीक्षण करें या XXE इंजेक्शन के लिए XML डेटा के साथ खेलें। व्यापक परीक्षण के लिए पैरामीटर प्रदूषण और वाइल्डकार्ड वर्णों का भी प्रयास करें।
Version Testing: पुराने API संस्करण हमलों के प्रति अधिक संवेदनशील हो सकते हैं। हमेशा कई API संस्करणों के खिलाफ जांचें और परीक्षण करें।
kiterunner: API एंडपॉइंट्स की खोज के लिए उत्कृष्ट। लक्षित APIs के खिलाफ पथों और पैरामीटरों को स्कैन और ब्रूट फोर्स करने के लिए इसका उपयोग करें।
https://github.com/BishopFox/sj: sj एक कमांड लाइन टूल है जिसे खुले Swagger/OpenAPI परिभाषा फ़ाइलों के ऑडिट में मदद करने के लिए डिज़ाइन किया गया है, जो संबंधित API एंडपॉइंट्स के लिए कमजोर प्रमाणीकरण की जांच करता है। यह मैनुअल भेद्यता परीक्षण के लिए कमांड टेम्पलेट भी प्रदान करता है।
automatic-api-attack-tool, Astra, और restler-fuzzer जैसे अतिरिक्त टूल API सुरक्षा परीक्षण के लिए अनुकूलित कार्यक्षमताएँ प्रदान करते हैं, जो हमले के अनुकरण से लेकर फज़िंग और भेद्यता स्कैनिंग तक हैं।
Cherrybomb: यह एक API सुरक्षा टूल है जो आपके API का ऑडिट OAS फ़ाइल के आधार पर करता है (यह टूल रस्ट में लिखा गया है)।
OWASP API सुरक्षा शीर्ष 10: सामान्य API भेद्यताओं को समझने के लिए आवश्यक पठन (OWASP Top 10).
API सुरक्षा चेकलिस्ट: APIs को सुरक्षित करने के लिए एक व्यापक चेकलिस्ट (GitHub लिंक).
Logger++ फ़िल्टर: API भेद्यताओं की खोज के लिए, Logger++ उपयोगी फ़िल्टर प्रदान करता है (GitHub लिंक).
API एंडपॉइंट्स सूची: परीक्षण उद्देश्यों के लिए संभावित API एंडपॉइंट्स की एक क्यूरेटेड सूची (GitHub गिस्ट).
Trickest का उपयोग करें ताकि आप दुनिया के सबसे उन्नत सामुदायिक टूल्स द्वारा संचालित वर्कफ़्लो को आसानी से बना और स्वचालित कर सकें। आज ही एक्सेस प्राप्त करें:
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
