hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

# Web API Pentesting

<details>

<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>

<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

Gebruik [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=web-api-pentesting) om maklik te bou en **werkstrome outomatiseer** wat aangedryf word deur die wêreld se **mees gevorderde** gemeenskapshulpmiddels.\
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

## API Pentesting Metodologie Opsomming

Pentesting van API's behels 'n gestruktureerde benadering om kwesbaarhede bloot te lê. Hierdie gids omvat 'n omvattende metodologie, wat praktiese tegnieke en gereedskap beklemtoon.

### **Begrip van API-tipes**

* **SOAP/XML-webdiens**: Gebruik die WSDL-formaat vir dokumentasie, tipies gevind by `?wsdl` paaie. Gereedskap soos **SOAPUI** en **WSDLer** (Burp Suite-uitbreiding) is instrumenteel vir die ontleding en generering van versoek. Voorbeelddokumentasie is toeganklik by [DNE Online](http://www.dneonline.com/calculator.asmx).
* **REST-API's (JSON)**: Dokumentasie kom dikwels in WADL-lêers voor, maar gereedskap soos [Swagger UI](https://swagger.io/tools/swagger-ui/) bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. **Postman** is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeldversoeke.
* **GraphQL**: 'n vraagtaal vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.

### **Praktyk-laboratoria**

* [**VAmPI**](https://github.com/erev0s/VAmPI): 'n doelbewus kwesbare API vir praktiese oefening, wat die OWASP top 10 API-kwesbaarhede dek.

### **Doeltreffende Truuks vir API Pentesting**

* **SOAP/XML-kwesbaarhede**: Verken XXE-kwesbaarhede, alhoewel DTD-verklarings dikwels beperk word. CDATA-etikette mag payload-invoeging toelaat as die XML geldig bly.
* **Bevoorregtingseskalasie**: Toets eindpunte met wisselende bevoorregtingsvlakke om ongemagtigde toegangsmoontlikhede te identifiseer.
* **CORS-foutkonfigurasies**: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanaf geauthentiseerde sessies.
* **Eindpunt-ontdekking**: Benut API-patrone om verskuilde eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.
* **Parameter-manipulasie**: Eksperimenteer met die byvoeging of vervanging van parameters in versoek om ongemagtigde data of funksionaliteite te benader.
* **HTTP-metodetoetsing**: Wissel versoekmetodes (GET, POST, PUT, DELETE, PATCH) om onverwagte gedrag of inligtingsblootstellings te ontbloot.
* **Inhoudstipe-manipulasie**: Skakel tussen verskillende inhoudstipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.
* **Gevorderde Parameter Tegnieke**: Toets met onverwagte datatipes in JSON-ladinge of speel met XML-data vir XXE-inspuitings. Probeer ook parameterbesoedeling en wildkarakters vir wyer toetsing.
* **Weergawe-toetsing**: Ouer API-weergawes mag meer vatbaar wees vir aanvalle. Kontroleer altyd vir en toets teen meervoudige API-weergawes.

### **Gereedskap en Hulpbronne vir API Pentesting**

* [**kiterunner**](https://github.com/assetnote/kiterunner): Uitstekend vir die ontdekking van API-eindpunte. Gebruik dit om te skandeer en bruto-krag paaie en parameters teen teiken-API's.
```bash
kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
```
* Ekstra gereedskap soos **automatic-api-attack-tool**, **Astra**, en **restler-fuzzer** bied op maat gemaakte funksies vir API-sekuriteitstoetsing, wat strek van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.
* [**Cherrybomb**](https://github.com/blst-security/cherrybomb): Dit is 'n API-sekuriteitswerktuig wat jou API oudit op grond van 'n OAS-lêer (die werktuig geskryf in roes).

### **Leer- en Oefenhulpbronne**

* **OWASP API Security Top 10**: Essensiële leesstof vir die begrip van algemene API-kwesbaarhede ([OWASP Top 10](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf)).
* **API Security Checklist**: 'n Omvattende lys vir die beveiliging van API's ([GitHub skakel](https://github.com/shieldfy/API-Security-Checklist)).
* **Logger++ Filters**: Vir die jag op API-kwesbaarhede, bied Logger++ nuttige filters ([GitHub skakel](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)).
* **API Endpoints List**: 'n Saamgestelde lys van potensiële API-eindpunte vir toetsdoeleindes ([GitHub gist](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)).

## Verwysings

* [https://github.com/Cyber-Guy1/API-SecurityEmpire](https://github.com/Cyber-Guy1/API-SecurityEmpire)

<figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

Gebruik [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=web-api-pentesting) om maklik **werkstrome te bou** en te **outomatiseer** wat aangedryf word deur die wêreld se **mees gevorderde** gemeenskaps gereedskap.\
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>