<summary><strong>Aprende a hackear AWS desde cero hasta convertirte en un experto con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
Utiliza [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** fácilmente con las herramientas comunitarias más avanzadas del mundo.\
El pentesting de APIs implica un enfoque estructurado para descubrir vulnerabilidades. Esta guía encapsula una metodología integral, enfatizando técnicas y herramientas prácticas.
* **Servicios Web SOAP/XML**: Utiliza el formato WSDL para la documentación, que suele encontrarse en rutas `?wsdl`. Herramientas como **SOAPUI** y **WSDLer** (Extensión de Burp Suite) son fundamentales para analizar y generar solicitudes. La documentación de ejemplo está disponible en [DNE Online](http://www.dneonline.com/calculator.asmx).
* **APIs REST (JSON)**: La documentación a menudo se presenta en archivos WADL, pero herramientas como [Swagger UI](https://swagger.io/tools/swagger-ui/) ofrecen una interfaz más amigable para la interacción. **Postman** es una herramienta valiosa para crear y gestionar solicitudes de ejemplo.
* [**VAmPI**](https://github.com/erev0s/VAmPI): Una API deliberadamente vulnerable para prácticas prácticas, que cubre las 10 principales vulnerabilidades de API de OWASP.
* **Vulnerabilidades SOAP/XML**: Explora vulnerabilidades XXE, aunque las declaraciones DTD suelen estar restringidas. Las etiquetas CDATA pueden permitir la inserción de payloads si el XML sigue siendo válido.
* **Configuraciones Incorrectas de CORS**: Investiga la configuración de CORS para posibles explotaciones a través de ataques CSRF desde sesiones autenticadas.
* **Descubrimiento de Endpoints**: Aprovecha los patrones de la API para descubrir endpoints ocultos. Las herramientas como los fuzzers pueden automatizar este proceso.
* **Manipulación de Parámetros**: Experimenta añadiendo o reemplazando parámetros en las solicitudes para acceder a datos o funcionalidades no autorizados.
* **Pruebas de Métodos HTTP**: Varía los métodos de solicitud (GET, POST, PUT, DELETE, PATCH) para descubrir comportamientos inesperados o revelaciones de información.
* **Manipulación de Tipo de Contenido**: Cambia entre diferentes tipos de contenido (x-www-form-urlencoded, application/xml, application/json) para probar problemas de análisis o vulnerabilidades.
* **Técnicas Avanzadas de Parámetros**: Prueba con tipos de datos inesperados en cargas JSON o juega con datos XML para inyecciones XXE. También prueba la contaminación de parámetros y caracteres comodín para pruebas más amplias.
* **Pruebas de Versiones**: Las versiones antiguas de API pueden ser más susceptibles a ataques. Siempre verifica y prueba contra múltiples versiones de API.
* [**kiterunner**](https://github.com/assetnote/kiterunner): Excelente para descubrir endpoints de API. Úsalo para escanear y realizar fuerza bruta en rutas y parámetros contra APIs objetivo.
* Herramientas adicionales como **automatic-api-attack-tool**, **Astra** y **restler-fuzzer** ofrecen funcionalidades personalizadas para pruebas de seguridad de API, que van desde simulación de ataques hasta fuzzing y escaneo de vulnerabilidades.
* [**Cherrybomb**](https://github.com/blst-security/cherrybomb): Es una herramienta de seguridad de API que audita tu API basándose en un archivo OAS (la herramienta está escrita en rust).
* **OWASP API Security Top 10**: Lectura esencial para comprender las vulnerabilidades comunes de API ([OWASP Top 10](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf)).
* **API Security Checklist**: Una lista de verificación completa para asegurar APIs ([enlace de GitHub](https://github.com/shieldfy/API-Security-Checklist)).
* **Filtros Logger++**: Para buscar vulnerabilidades de API, Logger++ ofrece filtros útiles ([enlace de GitHub](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)).
* **Lista de Endpoints de API**: Una lista seleccionada de posibles endpoints de API para propósitos de prueba ([gist de GitHub](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)).
Utiliza [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** fácilmente con las herramientas comunitarias más avanzadas del mundo.\
<summary><strong>Aprende hacking en AWS de cero a héroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, ¡consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).