Web API Pentesting

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

API Pentesting Methodology Summary

Pentesting APIs involves a structured approach to uncovering vulnerabilities. This guide encapsulates a comprehensive methodology, emphasizing practical techniques and tools.

Understanding API Types

SOAP/XML Web Services: Utilizzano il formato WSDL per la documentazione, tipicamente trovato nei percorsi ?wsdl. Strumenti come SOAPUI e WSDLer (Burp Suite Extension) sono strumentali per analizzare e generare richieste. La documentazione di esempio è accessibile su DNE Online.
REST APIs (JSON): La documentazione spesso si presenta in file WADL, tuttavia strumenti come Swagger UI offrono un'interfaccia più user-friendly per l'interazione. Postman è uno strumento prezioso per creare e gestire richieste di esempio.
GraphQL: Un linguaggio di query per API che offre una descrizione completa e comprensibile dei dati nella tua API.

Practice Labs

VAmPI: Un'API deliberatamente vulnerabile per esercitazioni pratiche, che copre le 10 principali vulnerabilità API di OWASP.

Effective Tricks for API Pentesting

SOAP/XML Vulnerabilities: Esplora le vulnerabilità XXE, anche se le dichiarazioni DTD sono spesso limitate. I tag CDATA possono consentire l'inserimento di payload se l'XML rimane valido.
Privilege Escalation: Testa gli endpoint con diversi livelli di privilegio per identificare possibilità di accesso non autorizzato.
CORS Misconfigurations: Indaga le impostazioni CORS per potenziali sfruttamenti attraverso attacchi CSRF da sessioni autenticate.
Endpoint Discovery: Sfrutta i modelli API per scoprire endpoint nascosti. Strumenti come i fuzzers possono automatizzare questo processo.
Parameter Tampering: Sperimenta con l'aggiunta o la sostituzione di parametri nelle richieste per accedere a dati o funzionalità non autorizzate.
HTTP Method Testing: Varia i metodi di richiesta (GET, POST, PUT, DELETE, PATCH) per scoprire comportamenti inaspettati o divulgazioni di informazioni.
Content-Type Manipulation: Passa tra diversi tipi di contenuto (x-www-form-urlencoded, application/xml, application/json) per testare problemi di analisi o vulnerabilità.
Advanced Parameter Techniques: Testa con tipi di dati inaspettati nei payload JSON o gioca con i dati XML per iniezioni XXE. Prova anche la contaminazione dei parametri e i caratteri jolly per test più ampi.
Version Testing: Le versioni API più vecchie potrebbero essere più suscettibili agli attacchi. Controlla sempre e testa contro più versioni API.

Tools and Resources for API Pentesting

kiterunner: Eccellente per scoprire endpoint API. Usalo per scansionare e forzare percorsi e parametri contro le API target.

kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

https://github.com/BishopFox/sj: sj è uno strumento da riga di comando progettato per assistere nell'audit dei file di definizione Swagger/OpenAPI esposti controllando gli endpoint API associati per autenticazione debole. Fornisce anche modelli di comando per il testing manuale delle vulnerabilità.
Strumenti aggiuntivi come automatic-api-attack-tool, Astra e restler-fuzzer offrono funzionalità su misura per il testing della sicurezza delle API, che vanno dalla simulazione di attacco al fuzzing e alla scansione delle vulnerabilità.
Cherrybomb: È uno strumento di sicurezza API che audita la tua API basandosi su un file OAS (lo strumento è scritto in rust).

Risorse per l'apprendimento e la pratica

OWASP API Security Top 10: Lettura essenziale per comprendere le vulnerabilità comuni delle API (OWASP Top 10).
API Security Checklist: Un elenco completo per la sicurezza delle API (GitHub link).
Logger++ Filters: Per la ricerca di vulnerabilità API, Logger++ offre filtri utili (GitHub link).
API Endpoints List: Un elenco curato di potenziali endpoint API per scopi di testing (GitHub gist).

Riferimenti

https://github.com/Cyber-Guy1/API-SecurityEmpire

Usa Trickest per costruire e automatizzare flussi di lavoro facilmente, alimentati dagli strumenti comunitari più avanzati al mondo. Accedi oggi:

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository GitHub.

PreviousVMWare (ESX, VCenter...)NextWebDav

Last updated 3 days ago

API Pentesting Methodology Summary

Pentesting APIs involves a structured approach to uncovering vulnerabilities. This guide encapsulates a comprehensive methodology, emphasizing practical techniques and tools.

Understanding API Types

SOAP/XML Web Services: Utilizzano il formato WSDL per la documentazione, tipicamente trovato nei percorsi ?wsdl. Strumenti come SOAPUI e WSDLer (Burp Suite Extension) sono strumentali per analizzare e generare richieste. La documentazione di esempio è accessibile su DNE Online.

REST APIs (JSON): La documentazione spesso si presenta in file WADL, tuttavia strumenti come Swagger UI offrono un'interfaccia più user-friendly per l'interazione. Postman è uno strumento prezioso per creare e gestire richieste di esempio.

GraphQL: Un linguaggio di query per API che offre una descrizione completa e comprensibile dei dati nella tua API.

Practice Labs

VAmPI: Un'API deliberatamente vulnerabile per esercitazioni pratiche, che copre le 10 principali vulnerabilità API di OWASP.

Effective Tricks for API Pentesting

SOAP/XML Vulnerabilities: Esplora le vulnerabilità XXE, anche se le dichiarazioni DTD sono spesso limitate. I tag CDATA possono consentire l'inserimento di payload se l'XML rimane valido.

Privilege Escalation: Testa gli endpoint con diversi livelli di privilegio per identificare possibilità di accesso non autorizzato.

CORS Misconfigurations: Indaga le impostazioni CORS per potenziali sfruttamenti attraverso attacchi CSRF da sessioni autenticate.

Endpoint Discovery: Sfrutta i modelli API per scoprire endpoint nascosti. Strumenti come i fuzzers possono automatizzare questo processo.

Parameter Tampering: Sperimenta con l'aggiunta o la sostituzione di parametri nelle richieste per accedere a dati o funzionalità non autorizzate.

HTTP Method Testing: Varia i metodi di richiesta (GET, POST, PUT, DELETE, PATCH) per scoprire comportamenti inaspettati o divulgazioni di informazioni.

Content-Type Manipulation: Passa tra diversi tipi di contenuto (x-www-form-urlencoded, application/xml, application/json) per testare problemi di analisi o vulnerabilità.

Advanced Parameter Techniques: Testa con tipi di dati inaspettati nei payload JSON o gioca con i dati XML per iniezioni XXE. Prova anche la contaminazione dei parametri e i caratteri jolly per test più ampi.

Version Testing: Le versioni API più vecchie potrebbero essere più suscettibili agli attacchi. Controlla sempre e testa contro più versioni API.

Tools and Resources for API Pentesting

kiterunner: Eccellente per scoprire endpoint API. Usalo per scansionare e forzare percorsi e parametri contro le API target.

kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

https://github.com/BishopFox/sj: sj è uno strumento da riga di comando progettato per assistere nell'audit dei file di definizione Swagger/OpenAPI esposti controllando gli endpoint API associati per autenticazione debole. Fornisce anche modelli di comando per il testing manuale delle vulnerabilità.

Strumenti aggiuntivi come automatic-api-attack-tool, Astra e restler-fuzzer offrono funzionalità su misura per il testing della sicurezza delle API, che vanno dalla simulazione di attacco al fuzzing e alla scansione delle vulnerabilità.

Cherrybomb: È uno strumento di sicurezza API che audita la tua API basandosi su un file OAS (lo strumento è scritto in rust).

Risorse per l'apprendimento e la pratica

OWASP API Security Top 10: Lettura essenziale per comprendere le vulnerabilità comuni delle API (OWASP Top 10).

API Security Checklist: Un elenco completo per la sicurezza delle API (GitHub link).

Logger++ Filters: Per la ricerca di vulnerabilità API, Logger++ offre filtri utili (GitHub link).

API Endpoints List: Un elenco curato di potenziali endpoint API per scopi di testing (GitHub gist).