Web API Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Pentesting APIs involves a structured approach to uncovering vulnerabilities. This guide encapsulates a comprehensive methodology, emphasizing practical techniques and tools.
SOAP/XML Web Services: Koriste WSDL format za dokumentaciju, obično se nalaze na ?wsdl putanjama. Alati kao što su SOAPUI i WSDLer (Burp Suite Extension) su ključni za parsiranje i generisanje zahteva. Primer dokumentacije je dostupan na DNE Online.
REST APIs (JSON): Dokumentacija često dolazi u WADL datotekama, ali alati kao što je Swagger UI pružaju korisnički prijatniji interfejs za interakciju. Postman je vredan alat za kreiranje i upravljanje primerima zahteva.
GraphQL: Jezik upita za API-je koji nudi potpunu i razumljivu opis podataka u vašem API-ju.
VAmPI: Namerno ranjiv API za praktičnu obuku, pokrivajući OWASP top 10 API ranjivosti.
SOAP/XML Vulnerabilities: Istražite XXE ranjivosti, iako su DTD deklaracije često ograničene. CDATA tagovi mogu omogućiti umetanje payload-a ako XML ostane validan.
Privilege Escalation: Testirajte krajnje tačke sa različitim nivoima privilegija kako biste identifikovali mogućnosti neovlašćenog pristupa.
CORS Misconfigurations: Istražite CORS podešavanja za potencijalnu iskoristivost kroz CSRF napade iz autentifikovanih sesija.
Endpoint Discovery: Iskoristite API obrasce za otkrivanje skrivenih krajnjih tačaka. Alati kao što su fuzzers mogu automatizovati ovaj proces.
Parameter Tampering: Eksperimentišite sa dodavanjem ili zamenom parametara u zahtevima kako biste pristupili neovlašćenim podacima ili funkcionalnostima.
HTTP Method Testing: Varirajte metode zahteva (GET, POST, PUT, DELETE, PATCH) kako biste otkrili neočekivana ponašanja ili otkrivanje informacija.
Content-Type Manipulation: Prebacujte se između različitih tipova sadržaja (x-www-form-urlencoded, application/xml, application/json) kako biste testirali probleme sa parsiranjem ili ranjivosti.
Advanced Parameter Techniques: Testirajte sa neočekivanim tipovima podataka u JSON payload-ima ili se igrajte sa XML podacima za XXE injekcije. Takođe, isprobajte zagađenje parametara i wildcard karaktere za šire testiranje.
Version Testing: Starije verzije API-ja mogu biti podložnije napadima. Uvek proverite i testirajte protiv više verzija API-ja.
kiterunner: Odličan za otkrivanje API krajnjih tačaka. Koristite ga za skeniranje i brute force putanja i parametara protiv ciljanih API-ja.
https://github.com/BishopFox/sj: sj je alat za komandnu liniju dizajniran da pomogne u reviziji izloženih Swagger/OpenAPI definicionih fajlova proverom povezanih API krajnjih tačaka na slabu autentifikaciju. Takođe pruža šablone komandi za ručno testiranje ranjivosti.
Dodatni alati kao što su automatic-api-attack-tool, Astra, i restler-fuzzer nude prilagođene funkcionalnosti za testiranje sigurnosti API-ja, od simulacije napada do fuzzinga i skeniranja ranjivosti.
Cherrybomb: To je alat za sigurnost API-ja koji revizuje vaš API na osnovu OAS fajla (alat napisan u rustu).
OWASP API Security Top 10: Osnovno čitanje za razumevanje uobičajenih ranjivosti API-ja (OWASP Top 10).
API Security Checklist: Sveobuhvatna lista za osiguranje API-ja (GitHub link).
Logger++ Filters: Za pronalaženje ranjivosti API-ja, Logger++ nudi korisne filtre (GitHub link).
API Endpoints List: Kurirana lista potencijalnih API krajnjih tačaka za testiranje (GitHub gist).
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice. Pribavite pristup danas:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
