Web API Pentesting

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

API Pentesting Methodology Summary

APIのペンテストは、脆弱性を発見するための体系的なアプローチを含みます。このガイドは、実用的な技術とツールを強調した包括的な方法論を要約しています。

Understanding API Types

SOAP/XML Web Services: ドキュメントのためにWSDL形式を利用し、通常は?wsdlパスに見られます。SOAPUIやWSDLer（Burp Suite Extension）などのツールは、リクエストの解析と生成に役立ちます。例のドキュメントはDNE Onlineでアクセス可能です。
REST APIs (JSON): ドキュメントはWADLファイルで提供されることが多いですが、Swagger UIのようなツールは、インタラクションのためのよりユーザーフレンドリーなインターフェースを提供します。Postmanは、例のリクエストを作成および管理するための貴重なツールです。
GraphQL: APIのためのクエリ言語で、API内のデータの完全で理解可能な説明を提供します。

Practice Labs

VAmPI: OWASPトップ10 API脆弱性をカバーするための実践的な練習用に意図的に脆弱なAPIです。

Effective Tricks for API Pentesting

SOAP/XML Vulnerabilities: XXE脆弱性を探求しますが、DTD宣言はしばしば制限されています。XMLが有効なままであれば、CDATAタグはペイロードの挿入を許可する場合があります。
Privilege Escalation: 権限レベルが異なるエンドポイントをテストして、不正アクセスの可能性を特定します。
CORS Misconfigurations: 認証されたセッションからのCSRF攻撃を通じて、潜在的な悪用可能性のためにCORS設定を調査します。
Endpoint Discovery: APIパターンを利用して隠れたエンドポイントを発見します。ファジングツールはこのプロセスを自動化できます。
Parameter Tampering: リクエストにパラメータを追加または置き換えて、不正なデータや機能にアクセスすることを試みます。
HTTP Method Testing: リクエストメソッド（GET、POST、PUT、DELETE、PATCH）を変えて、予期しない動作や情報漏洩を発見します。
Content-Type Manipulation: 異なるコンテンツタイプ（x-www-form-urlencoded、application/xml、application/json）を切り替えて、解析の問題や脆弱性をテストします。
Advanced Parameter Techniques: JSONペイロードで予期しないデータ型をテストしたり、XXEインジェクションのためにXMLデータで遊んだりします。また、パラメータ汚染やワイルドカード文字を試して、より広範なテストを行います。
Version Testing: 古いAPIバージョンは攻撃に対してより脆弱である可能性があります。常に複数のAPIバージョンを確認し、テストしてください。

Tools and Resources for API Pentesting

kiterunner: APIエンドポイントを発見するのに優れています。ターゲットAPIに対してパスやパラメータをスキャンおよびブルートフォースするために使用します。

kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

https://github.com/BishopFox/sj: sjは、関連するAPIエンドポイントの弱い認証をチェックすることによって、公開されたSwagger/OpenAPI定義ファイルの監査を支援するために設計されたコマンドラインツールです。また、手動の脆弱性テストのためのコマンドテンプレートも提供します。
automatic-api-attack-tool、Astra、およびrestler-fuzzerなどの追加ツールは、攻撃シミュレーションからファジング、脆弱性スキャンに至るまで、APIセキュリティテストのための特化した機能を提供します。
Cherrybomb: OASファイルに基づいてAPIを監査するAPIセキュリティツールです（このツールはRustで書かれています）。

学習と実践リソース

OWASP API Security Top 10: 一般的なAPIの脆弱性を理解するための必読書です (OWASP Top 10).
API Security Checklist: APIを保護するための包括的なチェックリストです (GitHub link).
Logger++ Filters: APIの脆弱性を探すために、Logger++は便利なフィルターを提供します (GitHub link).
API Endpoints List: テスト目的のための潜在的なAPIエンドポイントのキュレーションリストです (GitHub gist).

参考文献

https://github.com/Cyber-Guy1/API-SecurityEmpire

Trickestを使用して、世界で最も進んだコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。今すぐアクセスを取得：

Automate OffSec, EASM, and Custom Security Processes | Trickest

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するために、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousVMWare (ESX, VCenter...)NextWebDav

Last updated 1 day ago