<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik te bou en **werkstrome outomaties** te dryf met die wêreld se **mees gevorderde** gemeenskapshulpmiddels.\
Pentesting van API's behels 'n gestruktureerde benadering om kwesbaarhede bloot te lê. Hierdie gids omvat 'n omvattende metodologie, met klem op praktiese tegnieke en gereedskap.
* **SOAP/XML-webdiens**: Gebruik die WSDL-formaat vir dokumentasie, tipies gevind by `?wsdl` paaie. Gereedskap soos **SOAPUI** en **WSDLer** (Burp Suite-uitbreiding) is instrumenteel vir die ontleding en generering van versoek. Voorbeelddokumentasie is toeganklik by [DNE Online](http://www.dneonline.com/calculator.asmx).
* **REST-API's (JSON)**: Dokumentasie kom dikwels in WADL-lêers voor, maar gereedskap soos [Swagger UI](https://swagger.io/tools/swagger-ui/) bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. **Postman** is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeldversoeke.
* **GraphQL**: 'n vraagtaal vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.
* **SOAP/XML-kwesbaarhede**: Verken XXE-kwesbaarhede, alhoewel DTD-verklarings dikwels beperk word. CDATA-etikette mag payload-invoeging toelaat as die XML geldig bly.
* **Bevoorregtingseskalasie**: Toets eindpunte met wisselende bevoorregtingsvlakke om ongemagtigde toegangsmoontlikhede te identifiseer.
* **CORS-foutkonfigurasies**: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanaf geauthentiseerde sessies.
* **Eindpuntontdekking**: Benut API-patrone om verskuilde eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.
* **Parametermanipulasie**: Eksperimenteer met die byvoeging of vervanging van parameters in versoek om ongemagtigde data of funksionaliteite te benader.
* **Inhoudstipe-manipulasie**: Skakel tussen verskillende inhoudstipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.
* **Gevorderde Parameter Tegnieke**: Toets met onverwagte datatipes in JSON-payloads of speel met XML-data vir XXE-inspuitings. Probeer ook parametervervuiling en wildkaartkarakters vir breër toetsing.
* Ekstra gereedskap soos **automatic-api-attack-tool**, **Astra**, en **restler-fuzzer** bied op maat gemaakte funksies vir API-sekuriteitstoetsing, wat strek van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.
* **OWASP API Security Top 10**: Essensiële leesstof vir die begrip van algemene API-kwesbaarhede ([OWASP Top 10](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf)).
* **API Security Checklist**: 'n Omvattende lys vir die beveiliging van API's ([GitHub skakel](https://github.com/shieldfy/API-Security-Checklist)).
* **Logger++ Filters**: Vir die jag op API-kwesbaarhede bied Logger++ nuttige filters ([GitHub skakel](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)).
* **API Endpoints List**: 'n Saamgestelde lys van potensiële API-eindpunte vir toetsdoeleindes ([GitHub gist](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)).
Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik **werkstrome te bou en outomatiseer** wat aangedryf word deur die wêreld se **mees gevorderde** gemeenskapshulpmiddels.\
<summary><strong>Leer AWS-hacking van nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kontroleer die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.