Web API Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Pentesting APIs involves a structured approach to uncovering vulnerabilities. This guide encapsulates a comprehensive methodology, emphasizing practical techniques and tools.
SOAP/XML Web Services: WSDL प्रारूप का उपयोग करें, जो आमतौर पर ?wsdl पथों पर पाया जाता है। SOAPUI और WSDLer (Burp Suite Extension) जैसे उपकरण अनुरोधों को पार्स और उत्पन्न करने में सहायक होते हैं। उदाहरण दस्तावेज़ DNE Online पर उपलब्ध है।
REST APIs (JSON): दस्तावेज़ अक्सर WADL फ़ाइलों में आता है, फिर भी Swagger UI जैसे उपकरण इंटरैक्शन के लिए अधिक उपयोगकर्ता-अनुकूल इंटरफ़ेस प्रदान करते हैं। Postman उदाहरण अनुरोध बनाने और प्रबंधित करने के लिए एक मूल्यवान उपकरण है।
GraphQL: APIs के लिए एक क्वेरी भाषा जो आपके API में डेटा का एक संपूर्ण और समझने योग्य विवरण प्रदान करती है।
VAmPI: एक जानबूझकर कमजोर API जो व्यावहारिक अभ्यास के लिए है, OWASP शीर्ष 10 API कमजोरियों को कवर करता है।
SOAP/XML Vulnerabilities: XXE कमजोरियों का अन्वेषण करें, हालांकि DTD घोषणाएँ अक्सर प्रतिबंधित होती हैं। यदि XML मान्य रहता है तो CDATA टैग पेलोड सम्मिलन की अनुमति दे सकते हैं।
Privilege Escalation: विभिन्न विशेषाधिकार स्तरों के साथ एंडपॉइंट्स का परीक्षण करें ताकि अनधिकृत पहुंच की संभावनाओं की पहचान की जा सके।
CORS Misconfigurations: CSRF हमलों के माध्यम से संभावित शोषण के लिए CORS सेटिंग्स की जांच करें।
Endpoint Discovery: छिपे हुए एंडपॉइंट्स की खोज के लिए API पैटर्न का लाभ उठाएं। फज़र्स जैसे उपकरण इस प्रक्रिया को स्वचालित कर सकते हैं।
Parameter Tampering: अनधिकृत डेटा या कार्यक्षमताओं तक पहुंचने के लिए अनुरोधों में पैरामीटर जोड़ने या बदलने का प्रयोग करें।
HTTP Method Testing: अप्रत्याशित व्यवहार या जानकारी के खुलासे को उजागर करने के लिए अनुरोध विधियों (GET, POST, PUT, DELETE, PATCH) में भिन्नता लाएं।
Content-Type Manipulation: पार्सिंग समस्याओं या कमजोरियों के परीक्षण के लिए विभिन्न सामग्री प्रकारों (x-www-form-urlencoded, application/xml, application/json) के बीच स्विच करें।
Advanced Parameter Techniques: JSON पेलोड में अप्रत्याशित डेटा प्रकारों के साथ परीक्षण करें या XXE इंजेक्शन के लिए XML डेटा के साथ खेलें। व्यापक परीक्षण के लिए पैरामीटर प्रदूषण और वाइल्डकार्ड वर्णों का भी प्रयास करें।
Version Testing: पुराने API संस्करण हमलों के प्रति अधिक संवेदनशील हो सकते हैं। हमेशा कई API संस्करणों के खिलाफ जांचें और परीक्षण करें।
kiterunner: API एंडपॉइंट्स की खोज के लिए उत्कृष्ट। लक्षित APIs के खिलाफ पथों और पैरामीटरों को स्कैन और ब्रूट फोर्स करने के लिए इसका उपयोग करें।
https://github.com/BishopFox/sj: sj एक कमांड लाइन टूल है जिसे exposed Swagger/OpenAPI definition files के ऑडिट में मदद करने के लिए डिज़ाइन किया गया है, जो संबंधित API endpoints के लिए कमजोर प्रमाणीकरण की जांच करता है। यह मैनुअल भेद्यता परीक्षण के लिए कमांड टेम्पलेट भी प्रदान करता है।
automatic-api-attack-tool, Astra, और restler-fuzzer जैसे अतिरिक्त टूल API सुरक्षा परीक्षण के लिए अनुकूलित कार्यक्षमताएँ प्रदान करते हैं, जो हमले के अनुकरण से लेकर फज़िंग और भेद्यता स्कैनिंग तक हैं।
Cherrybomb: यह एक API सुरक्षा टूल है जो आपके API का ऑडिट OAS फ़ाइल के आधार पर करता है (यह टूल रस्ट में लिखा गया है)।
OWASP API Security Top 10: सामान्य API भेद्यताओं को समझने के लिए आवश्यक पठन (OWASP Top 10).
API सुरक्षा चेकलिस्ट: APIs को सुरक्षित करने के लिए एक व्यापक चेकलिस्ट (GitHub link).
Logger++ फ़िल्टर: API भेद्यताओं की खोज के लिए, Logger++ उपयोगी फ़िल्टर प्रदान करता है (GitHub link).
API Endpoints सूची: परीक्षण उद्देश्यों के लिए संभावित API endpoints की एक क्यूरेटेड सूची (GitHub gist).
Trickest का उपयोग करें ताकि आप दुनिया के सबसे उन्नत सामुदायिक टूल द्वारा संचालित automate workflows को आसानी से बना सकें। आज ही एक्सेस प्राप्त करें:
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
