Web API Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Pentesting APIs involves a structured approach to uncovering vulnerabilities. This guide encapsulates a comprehensive methodology, emphasizing practical techniques and tools.
SOAP/XML Web Services: Tumia muundo wa WSDL kwa ajili ya nyaraka, mara nyingi hupatikana katika njia za ?wsdl. Zana kama SOAPUI na WSDLer (Burp Suite Extension) ni muhimu kwa ajili ya kuchambua na kuunda maombi. Mfano wa nyaraka unapatikana katika DNE Online.
REST APIs (JSON): Nyaraka mara nyingi zinakuja katika faili za WADL, lakini zana kama Swagger UI hutoa kiolesura rahisi zaidi kwa ajili ya mwingiliano. Postman ni zana muhimu kwa ajili ya kuunda na kusimamia maombi ya mfano.
GraphQL: Lugha ya kuhoji kwa APIs inayo toa maelezo kamili na yanayoeleweka kuhusu data katika API yako.
VAmPI: API yenye makusudi ya kuwa na udhaifu kwa ajili ya mazoezi ya vitendo, inashughulikia udhaifu wa juu 10 wa API wa OWASP.
SOAP/XML Vulnerabilities: Chunguza udhaifu wa XXE, ingawa matangazo ya DTD mara nyingi yanapigwa marufuku. Mikataba ya CDATA inaweza kuruhusu kuingiza mzigo ikiwa XML inabaki kuwa halali.
Privilege Escalation: Jaribu mwisho wa huduma zenye viwango tofauti vya ruhusa ili kubaini uwezekano wa ufikiaji usioidhinishwa.
CORS Misconfigurations: Chunguza mipangilio ya CORS kwa uwezekano wa kutumiwa kupitia mashambulizi ya CSRF kutoka kwa vikao vilivyoidhinishwa.
Endpoint Discovery: Tumia mifumo ya API kugundua mwisho wa huduma zilizofichwa. Zana kama fuzzers zinaweza kuendesha mchakato huu.
Parameter Tampering: Jaribu kuongeza au kubadilisha vigezo katika maombi ili kufikia data au kazi zisizoidhinishwa.
HTTP Method Testing: Badilisha mbinu za maombi (GET, POST, PUT, DELETE, PATCH) ili kugundua tabia zisizotarajiwa au uvujaji wa taarifa.
Content-Type Manipulation: Badilisha kati ya aina tofauti za maudhui (x-www-form-urlencoded, application/xml, application/json) ili kujaribu matatizo ya uchambuzi au udhaifu.
Advanced Parameter Techniques: Jaribu na aina zisizotarajiwa za data katika mzigo wa JSON au cheza na data ya XML kwa ajili ya XXE kuingilia. Pia, jaribu uchafuzi wa vigezo na wahusika wa wildcard kwa ajili ya majaribio mapana.
Version Testing: Matoleo ya zamani ya API yanaweza kuwa na uwezekano mkubwa wa kushambuliwa. Daima angalia na jaribu dhidi ya matoleo mengi ya API.
kiterunner: Nzuri kwa ajili ya kugundua mwisho wa API. Tumia kuangalia na kulazimisha njia na vigezo dhidi ya APIs lengwa.
https://github.com/BishopFox/sj: sj ni zana ya mstari wa amri iliyoundwa kusaidia katika ukaguzi wa faili za ufafanuzi za Swagger/OpenAPI zilizofichuliwa kwa kuangalia mwisho wa API zinazohusiana kwa uthibitisho dhaifu. Pia inatoa templeti za amri kwa ajili ya kupima udhaifu kwa mikono.
Zana za ziada kama automatic-api-attack-tool, Astra, na restler-fuzzer zinatoa kazi maalum za kupima usalama wa API, kuanzia simulating shambulio hadi fuzzing na skanning ya udhaifu.
Cherrybomb: Ni zana ya usalama wa API inayokagua API yako kulingana na faili ya OAS (zana hiyo imeandikwa kwa rust).
OWASP API Security Top 10: Kusoma muhimu kwa kuelewa udhaifu wa kawaida wa API (OWASP Top 10).
API Security Checklist: Orodha kamili ya kuhakikisha usalama wa APIs (GitHub link).
Logger++ Filters: Kwa ajili ya kuwinda udhaifu wa API, Logger++ inatoa filters muhimu (GitHub link).
API Endpoints List: Orodha iliyochaguliwa ya mwisho wa API zinazoweza kutumika kwa madhumuni ya kupima (GitHub gist).
Tumia Trickest kujenga na kujiendesha kiotomatiki kazi zinazotolewa na zana za jamii zilizoendelea zaidi duniani. Pata Ufikiaji Leo:
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
