Web API Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Pentesting APIs involves a structured approach to uncovering vulnerabilities. This guide encapsulates a comprehensive methodology, emphasizing practical techniques and tools.
SOAP/XML Web Services: WSDL 형식을 문서화에 사용하며, 일반적으로 ?wsdl
경로에서 찾을 수 있습니다. SOAPUI 및 WSDLer (Burp Suite Extension)와 같은 도구는 요청을 파싱하고 생성하는 데 유용합니다. 예제 문서는 DNE Online에서 접근할 수 있습니다.
REST APIs (JSON): 문서는 종종 WADL 파일로 제공되지만, Swagger UI와 같은 도구는 상호작용을 위한 더 사용자 친화적인 인터페이스를 제공합니다. Postman은 예제 요청을 생성하고 관리하는 데 유용한 도구입니다.
GraphQL: API를 위한 쿼리 언어로, API의 데이터에 대한 완전하고 이해 가능한 설명을 제공합니다.
VAmPI: OWASP 상위 10 API 취약점을 다루는 실습을 위한 의도적으로 취약한 API입니다.
SOAP/XML Vulnerabilities: XXE 취약점을 탐색하되, DTD 선언은 종종 제한됩니다. XML이 유효한 경우 CDATA 태그를 통해 페이로드 삽입이 가능할 수 있습니다.
Privilege Escalation: 다양한 권한 수준으로 엔드포인트를 테스트하여 무단 접근 가능성을 식별합니다.
CORS Misconfigurations: 인증된 세션에서 CSRF 공격을 통해 잠재적인 악용 가능성을 조사합니다.
Endpoint Discovery: API 패턴을 활용하여 숨겨진 엔드포인트를 발견합니다. 퍼저와 같은 도구가 이 과정을 자동화할 수 있습니다.
Parameter Tampering: 요청에서 매개변수를 추가하거나 교체하여 무단 데이터 또는 기능에 접근을 시도합니다.
HTTP Method Testing: 요청 방법(GET, POST, PUT, DELETE, PATCH)을 변경하여 예상치 못한 동작이나 정보 유출을 발견합니다.
Content-Type Manipulation: 서로 다른 콘텐츠 유형(x-www-form-urlencoded, application/xml, application/json) 간에 전환하여 파싱 문제나 취약점을 테스트합니다.
Advanced Parameter Techniques: JSON 페이로드에서 예상치 못한 데이터 유형으로 테스트하거나 XML 데이터로 XXE 주입을 시도합니다. 또한, 매개변수 오염 및 와일드카드 문자를 사용하여 더 넓은 테스트를 시도합니다.
Version Testing: 이전 API 버전은 공격에 더 취약할 수 있습니다. 항상 여러 API 버전을 확인하고 테스트합니다.
kiterunner: API 엔드포인트를 발견하는 데 탁월합니다. 이를 사용하여 대상 API에 대한 경로 및 매개변수를 스캔하고 무차별 대입합니다.
https://github.com/BishopFox/sj: sj는 노출된 Swagger/OpenAPI 정의 파일의 감사를 지원하기 위해 설계된 명령줄 도구로, 관련 API 엔드포인트의 약한 인증을 확인합니다. 또한 수동 취약점 테스트를 위한 명령 템플릿을 제공합니다.
automatic-api-attack-tool, Astra, restler-fuzzer와 같은 추가 도구는 공격 시뮬레이션에서 퍼징 및 취약점 스캐닝에 이르기까지 API 보안 테스트를 위한 맞춤형 기능을 제공합니다.
Cherrybomb: OAS 파일을 기반으로 API를 감사하는 API 보안 도구입니다(이 도구는 Rust로 작성됨).
OWASP API Security Top 10: 일반적인 API 취약점을 이해하기 위한 필수 읽기 (OWASP Top 10).
API Security Checklist: API 보안을 위한 포괄적인 체크리스트 (GitHub link).
Logger++ Filters: API 취약점을 탐지하기 위해 Logger++는 유용한 필터를 제공합니다 (GitHub link).
API Endpoints List: 테스트 목적으로 사용할 수 있는 잠재적인 API 엔드포인트의 선별된 목록 (GitHub gist).
Trickest를 사용하여 세계에서 가장 진보된 커뮤니티 도구로 구동되는 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 액세스하세요:
AWS 해킹 학습 및 연습:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 학습 및 연습: HackTricks Training GCP Red Team Expert (GRTE)