Web API Pentesting
Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane najnaprednijim alatima zajednice. Dobijte pristup danas:
Sažetak Metodologije Testiranja API-ja
Testiranje API-ja uključuje strukturiran pristup otkrivanju ranjivosti. Ovaj vodič obuhvata sveobuhvatnu metodologiju, naglašavajući praktične tehnike i alate.
Razumevanje Tipova API-ja
SOAP/XML Web Servisi: Koristite WSDL format za dokumentaciju, obično pronađenu na putanjama
?wsdl
. Alati poput SOAPUI i WSDLer (Burp Suite Extension) su instrumentalni za parsiranje i generisanje zahteva. Primer dokumentacije je dostupan na DNE Online.REST API-ji (JSON): Dokumentacija često dolazi u WADL fajlovima, ali alati poput Swagger UI pružaju korisniji interfejs za interakciju. Postman je vredan alat za kreiranje i upravljanje primer zahtevima.
GraphQL: Upitni jezik za API-je koji nudi potpisan i razumljiv opis podataka u vašem API-ju.
Vežbačke Laboratorije
VAmPI: Namerno ranjiv API za praktičnu vežbu, koji pokriva OWASP top 10 API ranjivosti.
Efikasni Trikovi za Testiranje API-ja
SOAP/XML Ranjivosti: Istražite XXE ranjivosti, iako su deklaracije DTD-a često ograničene. CDATA tagovi mogu omogućiti umetanje payload-a ako XML ostane validan.
Eskalacija Privilegija: Testirajte endpointe sa različitim nivoima privilegija kako biste identifikovali mogućnosti neovlašćenog pristupa.
CORS Pogrešne Konfiguracije: Istražite CORS podešavanja radi potencijalne iskoristivosti putem CSRF napada iz autentifikovanih sesija.
Otkrivanje Endpoinata: Iskoristite obrasce API-ja da otkrijete skrivene endpoinate. Alati poput fuzera mogu automatizovati ovaj proces.
Manipulacija Parametrima: Eksperimentišite sa dodavanjem ili zamenom parametara u zahtevima kako biste pristupili neovlašćenim podacima ili funkcionalnostima.
Testiranje HTTP Metoda: Varirajte metode zahteva (GET, POST, PUT, DELETE, PATCH) kako biste otkrili neočekivano ponašanje ili otkrivanje informacija.
Manipulacija Tipom Sadržaja: Prebacujte se između različitih tipova sadržaja (x-www-form-urlencoded, application/xml, application/json) kako biste testirali probleme sa parsiranjem ili ranjivosti.
Napredne Tehnike Parametara: Testirajte sa neočekivanim tipovima podataka u JSON payload-ima ili igrajte se sa XML podacima za XXE ubacivanja. Takođe, pokušajte sa zagađivanjem parametara i wildcard karakterima za šire testiranje.
Testiranje Verzija: Starije verzije API-ja mogu biti podložnije napadima. Uvek proverite i testirajte protiv više verzija API-ja.
Alati i Resursi za Testiranje API-ja
kiterunner: Odličan za otkrivanje API endpoinata. Koristite ga za skeniranje i brute force putanja i parametara protiv ciljanih API-ja.
Dodatni alati poput automatic-api-attack-tool, Astra i restler-fuzzer nude prilagođene funkcionalnosti za testiranje sigurnosti API-ja, uključujući simulaciju napada, fuzzing i skeniranje ranjivosti.
Cherrybomb: To je alat za sigurnost API-ja koji proverava vaš API na osnovu OAS datoteke (alat je napisan u rust jeziku).
Resursi za učenje i vežbanje
OWASP API Security Top 10: Osnovno štivo za razumevanje uobičajenih ranjivosti API-ja (OWASP Top 10).
API Security Checklist: Kompletna lista za obezbeđivanje API-ja (GitHub link).
Logger++ Filters: Za pronalaženje ranjivosti API-ja, Logger++ nudi korisne filtere (GitHub link).
API Endpoints List: Odabrana lista potencijalnih API endpointa za testiranje (GitHub gist).
Reference
Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane najnaprednijim alatima zajednice. Dobijte pristup danas:
Last updated