hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

92 lines
7.2 KiB
Markdown
Raw Normal View History

2022-05-16 08:29:00 +00:00
# Web API Pentesting
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
2023-12-31 01:24:39 +00:00
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
2024-02-11 02:07:06 +00:00
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>
2022-06-06 22:28:05 +00:00
Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik te bou en **werkstrome outomaties** te dryf met die wêreld se **mees gevorderde** gemeenskapshulpmiddels.\
Kry Vandaag Toegang:
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
2022-06-06 22:28:05 +00:00
2024-02-11 02:07:06 +00:00
## API Pentesting Metodologie Opsomming
2021-06-08 18:47:44 +00:00
Pentesting van API's behels 'n gestruktureerde benadering om kwesbaarhede bloot te lê. Hierdie gids omvat 'n omvattende metodologie, met klem op praktiese tegnieke en gereedskap.
2024-02-11 02:07:06 +00:00
### **Begrip van API-tipes**
2022-12-21 10:38:32 +00:00
* **SOAP/XML-webdiens**: Gebruik die WSDL-formaat vir dokumentasie, tipies gevind by `?wsdl` paaie. Gereedskap soos **SOAPUI** en **WSDLer** (Burp Suite-uitbreiding) is instrumenteel vir die ontleding en generering van versoek. Voorbeelddokumentasie is toeganklik by [DNE Online](http://www.dneonline.com/calculator.asmx).
* **REST-API's (JSON)**: Dokumentasie kom dikwels in WADL-lêers voor, maar gereedskap soos [Swagger UI](https://swagger.io/tools/swagger-ui/) bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. **Postman** is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeldversoeke.
* **GraphQL**: 'n vraagtaal vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.
### **Oefen Laboratoriums**
* [**VAmPI**](https://github.com/erev0s/VAmPI): 'n doelbewus kwesbare API vir praktiese oefening, wat die OWASP top 10 API-kwesbaarhede dek.
2024-02-11 02:07:06 +00:00
### **Doeltreffende Truuks vir API Pentesting**
* **SOAP/XML-kwesbaarhede**: Verken XXE-kwesbaarhede, alhoewel DTD-verklarings dikwels beperk word. CDATA-etikette mag payload-invoeging toelaat as die XML geldig bly.
* **Bevoorregtingseskalasie**: Toets eindpunte met wisselende bevoorregtingsvlakke om ongemagtigde toegangsmoontlikhede te identifiseer.
* **CORS-foutkonfigurasies**: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanaf geauthentiseerde sessies.
* **Eindpuntontdekking**: Benut API-patrone om verskuilde eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.
* **Parametermanipulasie**: Eksperimenteer met die byvoeging of vervanging van parameters in versoek om ongemagtigde data of funksionaliteite te benader.
* **HTTP-metodetoetsing**: Wissel versoekmetodes (GET, POST, PUT, DELETE, PATCH) om onverwagte gedrag of inligtingsblootstellings te ontbloot.
* **Inhoudstipe-manipulasie**: Skakel tussen verskillende inhoudstipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.
* **Gevorderde Parameter Tegnieke**: Toets met onverwagte datatipes in JSON-payloads of speel met XML-data vir XXE-inspuitings. Probeer ook parametervervuiling en wildkaartkarakters vir breër toetsing.
* **Weergawe Toetsing**: Ouer API-weergawes mag meer vatbaar wees vir aanvalle. Kontroleer altyd vir en toets teen meervoudige API-weergawes.
2024-02-11 02:07:06 +00:00
### **Gereedskap en Hulpbronne vir API Pentesting**
* **kiterunner**: Uitstekend vir die ontdekking van API-eindpunte. Gebruik dit om te skandeer en bruto krag paaie en parameters teen teiken-API's.
2024-02-08 21:36:15 +00:00
```bash
kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
```
* Ekstra gereedskap soos **automatic-api-attack-tool**, **Astra**, en **restler-fuzzer** bied op maat gemaakte funksies vir API-sekuriteitstoetsing, wat strek van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.
2022-09-27 09:36:19 +00:00
### **Leer- en Oefenhulpbronne**
* **OWASP API Security Top 10**: Essensiële leesstof vir die begrip van algemene API-kwesbaarhede ([OWASP Top 10](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf)).
* **API Security Checklist**: 'n Omvattende lys vir die beveiliging van API's ([GitHub skakel](https://github.com/shieldfy/API-Security-Checklist)).
* **Logger++ Filters**: Vir die jag op API-kwesbaarhede bied Logger++ nuttige filters ([GitHub skakel](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)).
* **API Endpoints List**: 'n Saamgestelde lys van potensiële API-eindpunte vir toetsdoeleindes ([GitHub gist](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)).
2024-02-11 02:07:06 +00:00
## Verwysings
2022-09-05 10:17:20 +00:00
* [https://github.com/Cyber-Guy1/API-SecurityEmpire](https://github.com/Cyber-Guy1/API-SecurityEmpire)
2022-04-28 16:01:33 +00:00
<figure><img src="../../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>
2022-06-06 22:28:05 +00:00
Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik **werkstrome te bou en outomatiseer** wat aangedryf word deur die wêreld se **mees gevorderde** gemeenskapshulpmiddels.\
Kry Vandag Toegang:
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
2022-06-06 22:28:05 +00:00
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
2023-12-31 01:24:39 +00:00
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kontroleer die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
2022-04-28 16:01:33 +00:00
</details>