hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

# Web API 渗透测试

<details>

<summary><strong>从零开始学习 AWS 黑客攻击直到成为英雄</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS 红队专家)</strong></a><strong>！</strong></summary>

支持 HackTricks 的其他方式：

* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 HackTricks 的 PDF**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family)，我们独家的 [**NFTs**](https://opensea.io/collection/the-peass-family) 收藏
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。

</details>

<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 轻松构建并**自动化工作流程**，由世界上**最先进**的社区工具提供支持。\
立即获取访问权限：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

## 基本信息

主要内容：

* **Web 服务 (SOAP/XML)**
* 文档使用 **WSDL** 格式，通常保存在 `?wsdl` 路径，如 `https://api.example.com/api/?wsdl`
* 可以在 [http://www.dneonline.com/calculator.asmx](http://www.dneonline.com/calculator.asmx) 找到此类文档的示例（WSDL 文档在 [http://www.dneonline.com/calculator.asmx?wsdl](http://www.dneonline.com/calculator.asmx?wsdl)），您可以看到调用 `Add` 方法的示例请求 [http://www.dneonline.com/calculator.asmx?op=Add](http://www.dneonline.com/calculator.asmx?op=Add)
* 为了解析这些文件并创建示例请求，您可以使用工具 **SOAPUI** 或 Burp Suite 扩展 **WSDLer**。
* **REST APIs (JSON)**
* 标准文档是 WADL 文件。在此处找到示例：[https://www.w3.org/Submission/wadl/](https://www.w3.org/Submission/wadl/)。然而，还有其他更加开发者友好的 API 表示引擎，如 [https://swagger.io/tools/swagger-ui/](https://swagger.io/tools/swagger-ui/)（在页面中查看演示）
* 为了解析这些文件并创建示例请求，您可以使用工具 **Postman**
* [**GraphQL**](graphql.md)

## 实验室

* [**VAmPI**](https://github.com/erev0s/VAmPI)**：** VAmPI 是一个使用 Flask 制作的易受攻击的 API，它包含了 OWASP 前 10 大 API 漏洞。

## 技巧

### SOAP/XML

这类 API 可能[**容易受到 XXE 攻击**](../../pentesting-web/xxe-xee-xml-external-entity.md)，但通常在用户输入中**不允许 DTD 声明**。

您也可以尝试使用 CDATA 标签插入有效载荷（只要 XML 是有效的）

![](<../../.gitbook/assets/image (534).png>)

### 检查访问权限

通常一些 API 端点需要比其他端点更高的权限。始终尝试从权限较低的（未授权）账户访问更高权限的端点，看看是否可能。

### CORS

始终检查 API 的 [**CORS**](../../pentesting-web/cors-bypass.md) 配置，因为如果它允许从攻击者域名发送带有凭据的请求，那么通过受认证受害者的 [**CSRF**](../../pentesting-web/csrf-cross-site-request-forgery.md) 可以造成很大的损害。

### 模式

在 api 内部搜索 API 模式，并尝试使用它来发现更多内容。\
如果您发现 _/api/albums/**\<album_id>**/photos/**\<photo_id>**_\*\* \*\* 您可以尝试类似 _/api/**posts**/\<post_id>/**comment**/_ 的东西。使用一些模糊器来发现这些新的端点。

### 添加参数

类似以下示例可能会让您访问另一个用户的相册：\
_/api/MyPictureList → /api/MyPictureList?**user_id=\<other_user_id>**_

### 替换参数

您可以尝试**模糊参数**或**使用**在不同端点看到的参数来尝试访问其他信息

例如，如果您看到类似：_/api/albums?**album_id=\<album id>**_

您可以**替换** **`album_id`** 参数为完全不同的内容，并可能获取其他数据：_/api/albums?**account_id=\<account id>**_

### 参数污染

/api/account?**id=\<your account id>** → /api/account?**id=\<your account id>\&id=\<admin's account id>**

### 通配符参数

尝试使用以下符号作为通配符：**\***, **%**, **\_**, **.**

* /api/users/\*
* /api/users/%
* /api/users/\_
* /api/users/.

### HTTP 请求方法更改

您可以尝试使用 HTTP 方法：**GET, POST, PUT, DELETE, PATCH, INVENTED** 来检查 web 服务器是否会给您意外的信息。

### 请求内容类型

尝试在以下内容类型之间切换（相应地修改请求体），使 web 服务器表现出意外行为：

* **x-www-form-urlencoded** --> user=test
* **application/xml** --> \<user>test\</user>
* **application/json** --> {"user": "test"}

### 参数类型

如果**JSON**数据有效，尝试发送意外的数据类型，如：

* {"username": "John"}
* {"username": true}
* {"username": null}
* {"username": 1}
* {"username": \[true]}
* {"username": \["John", true]}
* {"username": {"$neq": "lalala"\}}
* 您可以想象的任何其他组合

如果您可以发送**XML**数据，请检查 [XXE 注入](../../pentesting-web/xxe-xee-xml-external-entity.md)。

如果您发送常规的 POST 数据，请尝试发送数组和字典：

* username\[]=John
* username\[$neq]=lalala

### 玩转路由

`/files/..%2f..%2f + 受害者 ID + %2f + 受害者文件名`

### 检查可能的版本

旧版本可能仍在使用，并且比最新的端点更容易受到攻击

* `/api/v1/login`
* `/api/v2/login`\\
* `/api/CharityEventFeb2020/user/pp/<ID>`
* `/api/CharityEventFeb2021/user/pp/<ID>`

### 检查可能的版本（自动化方法）

AutoRepeater Burp 扩展：添加替换规则

* `类型：请求字符串`
* `匹配：v2（更高版本）`
* `替换：v1（较低版本）`

## 🛡️ API 安全帝国备忘单

\
备忘单作者：[Momen Eldawakhly (Cyber Guy)](https://www.linkedin.com/in/momen-eldawakhly-3b6250204)\
\
在这个仓库中，您将找到：思维导图、技巧和窍门、资源以及与 API 安全和 API 渗透测试相关的所有内容。我们的思维导图和资源基于 OWASP TOP 10 API、我们在渗透测试中的经验以及其他资源，以提供 WEB 上最先进和准确的 API 安全和渗透测试资源！！

### 🚪 第一道门：`{{侦察}}`

进入 API 安全帝国的第一道门是了解如何收集有关 API 基础设施的信息以及如何对 API 进行强大的侦察，以发现可能使您妥协整个基础设施的隐藏门，因此，我们提供了这个最新的 API 侦察思维导图，其中包含 API 侦察的最新工具和方法：

\
![](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap.png)

[**PDF 版本**](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap.pdf) **|** [**XMind 版本**](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap.xmind)

#### ⚔️ 您将需要的武器：

* [BurpSuite](https://portswigger.net/burp/releases)
* [FFUF](https://github.com/ffuf/ffuf)
* [Arjun](https://github.com/InsiderPhD/Arjun)
* [Postman](https://www.postman.com/downloads/)
* [SecLists](https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content)
* [FuzzDB](https://github.com/fuzzdb-project/fuzzdb)
* [SoapUI](https://www.soapui.org/downloads/soapui/)
* [GraphQL Voyager](https://apis.guru/graphql-voyager/)
* [Kiterunner](https://github.com/assetnote/kiterunner)
* [unfurl](https://github.com/tomnomnom/unfurl)

#### 🏋️ 测试您的能力和武器：

* [vapi](https://github.com/roottusk/vapi)
* [Generic-University](https://github.com/InsiderPhD/Generic-University)

### 🚪 第二道门：`{{攻击}}`

#### 攻击 RESTful & SOAP：

![](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap%20ATTACK.png)\
[**PDF 版本**](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap%20ATTACK.pdf) **|** [**XMind 版本**](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap%20ATTACK.xmind)\\

#### 攻击 GraphQL：

由于 GraphQL 中的攻击有限，我们尝试根据我们在测试 API 的经验，在即将到来的思维导图中生成所有可能的攻击：

![](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap%20%7B%7BGraphQL%20Attacking%7D%7D.png)\
[**PDF 版本**](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap%20%7B%7BGraphQL%20Attacking%7D%7D.pdf) **|** [**XMind 版本**](https://github.com/Cyber-Guy1/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap%20%7B%7BGraphQL%20Attacking%7D%7D.xmind)\\

## Owasp API 安全前 10 名

阅读此文档以了解如何**搜索**和**利用** Owasp 前 10 大 API 漏洞：[https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf)

## API 安全检查清单

{% embed url="https://github.com/shieldfy/API-Security-Checklist" %}

## 用于寻找 API 漏洞的 Logger++ 过滤器

[https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)

## 可能的 API 端点列表

[https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)

## 工具

* [**kiterunner**](https://github.com/assetnote/kiterunner)：出色的工具，用于**发现 API 端点。**
```bash
kr scan https://domain.com/api/ -w routes-large.kite -x 20 # Downloaded from kiterunner repo
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
```
* [**automatic-api-attack-tool**](https://github.com/imperva/automatic-api-attack-tool): Imperva 定制的 API 攻击工具，输入一个 API 规范，生成并执行基于该规范的攻击作为输出。
* [**Astra**](https://github.com/flipkart-incubator/Astra): 另一个用于 api 测试的工具，可以发现多种不同的 web 漏洞。
* [**Susanoo**](https://github.com/ant4g0nist/Susanoo): 漏洞 API 扫描器。
* [**restler-fuzzer**](https://github.com/microsoft/restler-fuzzer): RESTler 是_第一个有状态的 REST API 模糊测试工具_，用于自动测试通过其 REST APIs 的云服务，并在这些服务中找到安全和可靠性漏洞。对于具有 OpenAPI/Swagger 规范的给定云服务，RESTler 分析其整个规范，然后生成并执行通过其 REST API 对服务进行测试的测试。
* [**TnT-Fuzzer**](https://github.com/Teebytes/TnT-Fuzzer)**:** TnT-Fuzzer 是一个用 python 编写的 OpenAPI (swagger) 模糊测试工具。
* [**APIFuzzer**](https://github.com/KissPeter/APIFuzzer)**:** APIFuzzer 读取您的 API 描述并逐步模糊字段以验证您的应用程序是否能够处理模糊的参数。
* [**API-fuzzer**](https://github.com/Fuzzapi/API-fuzzer): API\_Fuzzer gem 接受一个 API 请求作为输入，并返回 API 中可能存在的漏洞。
* [**race-the-web**](https://github.com/TheHackerDev/race-the-web): 通过同时向目标 URL（或多个 URL）发送用户指定数量的请求来测试 web 应用程序中的竞态条件，然后比较服务器的响应以确定唯一性。

<figure><img src="../../.gitbook/assets/image (3) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建并**自动化工作流程**，由世界上**最先进**的社区工具提供支持。\
立即获取访问权限：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><strong>通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>从零开始学习 AWS 黑客攻击！</strong></summary>

其他支持 HackTricks 的方式：

* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 HackTricks 的 PDF**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family)，我们独家的 [**NFTs**](https://opensea.io/collection/the-peass-family) 系列
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram 群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。

</details>