hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

# Pentestage d'API Web

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFT exclusifs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

![](<../.gitbook/assets/image (9) (1) (2).png>)

\
Utilisez [**Trickest**](https://trickest.io/) pour créer et **automatiser des workflows** alimentés par les outils communautaires les plus avancés au monde.\
Obtenez l'accès aujourd'hui :

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

## Informations de base

Principal :

* **Services Web (SOAP/XML)**
  * La documentation utilise le format **WSDL** et est généralement enregistrée dans le chemin `?wsdl` comme `https://api.example.com/api/?wsdl`
  * Un exemple de cette documentation peut être trouvé dans [http://www.dneonline.com/calculator.asmx](http://www.dneonline.com/calculator.asmx) (document WSDL dans [http://www.dneonline.com/calculator.asmx?wsdl](http://www.dneonline.com/calculator.asmx?wsdl)) et vous pouvez voir une demande d'exemple appelant la méthode `Add` dans [http://www.dneonline.com/calculator
```bash
kr scan https://domain.com/api/ -w routes-large.kite -x 20 # Downloaded from kiterunner repo
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
```
* [**automatic-api-attack-tool**](https://github.com/imperva/automatic-api-attack-tool) : L'outil d'attaque d'API personnalisable d'Imperva prend une spécification d'API en entrée, génère et exécute des attaques basées sur celle-ci en sortie.
* [**Astra**](https://github.com/flipkart-incubator/Astra) : Un autre outil pour tester les API afin de trouver plusieurs vulnérabilités web différentes.
* [**Susanoo**](https://github.com/ant4g0nist/Susanoo) : Scanner de vulnérabilité d'API.
* [**restler-fuzzer**](https://github.com/microsoft/restler-fuzzer) : RESTler est le _premier outil de fuzzing d'API REST étatique_ pour tester automatiquement les services cloud via leurs API REST et trouver des bugs de sécurité et de fiabilité dans ces services. Pour un service cloud donné avec une spécification OpenAPI/Swagger, RESTler analyse l'ensemble de sa spécification, puis génère et exécute des tests qui exercent le service via son API REST.
* [**TnT-Fuzzer**](https://github.com/Teebytes/TnT-Fuzzer)**:** TnT-Fuzzer est un fuzzer OpenAPI (swagger) écrit en python.
* [**APIFuzzer**](https://github.com/KissPeter/APIFuzzer)**:** APIFuzzer lit la description de votre API et fuzz les champs étape par étape pour valider si votre application peut gérer les paramètres fuzzés.
* [**API-fuzzer**](https://github.com/Fuzzapi/API-fuzzer) : Le gem API\_Fuzzer accepte une requête API en entrée et renvoie les vulnérabilités possibles dans l'API.
* [**race-the-web**](https://github.com/TheHackerDev/race-the-web) : Tests pour les conditions de course dans les applications web en envoyant un nombre spécifié d'URL cibles simultanément, puis compare les réponses du serveur pour leur unicité.

![](<../.gitbook/assets/image (9) (1) (2).png>)

\
Utilisez [**Trickest**](https://trickest.io/) pour construire facilement et **automatiser des workflows** alimentés par les outils communautaires les plus avancés au monde.\
Obtenez l'accès aujourd'hui :

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Translated to French 2023-06-03 13:10:46 +00:00			`# Pentestage d'API Web`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`* Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop)!`
			`* Découvrez [The PEASS Family](https://opensea.io/collection/the-peass-family), notre collection d'[NFT exclusifs](https://opensea.io/collection/the-peass-family)`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Rejoignez le [💬](https://emojipedia.org/speech-balloon/) [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

update 2023-01-01 16:19:07 +00:00			`![](<../.gitbook/assets/image (9) (1) (2).png>)`
GitBook: [#3240] No subject 2022-06-06 22:28:05 +00:00
update 2023-01-01 16:19:07 +00:00			`\`
Translated to French 2023-06-03 13:10:46 +00:00			`Utilisez [Trickest](https://trickest.io/) pour créer et automatiser des workflows alimentés par les outils communautaires les plus avancés au monde.\`
			`Obtenez l'accès aujourd'hui :`
GitBook: [#3240] No subject 2022-06-06 22:28:05 +00:00
update 2023-01-01 16:19:07 +00:00			`{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}`
GitBook: [#3240] No subject 2022-06-06 22:28:05 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`## Informations de base`
GitBook: [master] 4 pages modified 2021-06-08 18:47:44 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Principal :`
GitBook: [#3460] No subject 2022-09-05 10:17:20 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`* Services Web (SOAP/XML)`
			* La documentation utilise le format WSDL et est généralement enregistrée dans le chemin `?wsdl` comme `https://api.example.com/api/?wsdl`
			* Un exemple de cette documentation peut être trouvé dans [http://www.dneonline.com/calculator.asmx](http://www.dneonline.com/calculator.asmx) (document WSDL dans [http://www.dneonline.com/calculator.asmx?wsdl](http://www.dneonline.com/calculator.asmx?wsdl)) et vous pouvez voir une demande d'exemple appelant la méthode `Add` dans [http://www.dneonline.com/calculator
GitBook: [#3460] No subject 2022-09-05 10:17:20 +00:00			```bash
			`kr scan https://domain.com/api/ -w routes-large.kite -x 20 # Downloaded from kiterunner repo`
			`kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20`
			`kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0`
			`kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0`
			```
Translated to French 2023-06-03 13:10:46 +00:00			`* [automatic-api-attack-tool](https://github.com/imperva/automatic-api-attack-tool) : L'outil d'attaque d'API personnalisable d'Imperva prend une spécification d'API en entrée, génère et exécute des attaques basées sur celle-ci en sortie.`
			`* [Astra](https://github.com/flipkart-incubator/Astra) : Un autre outil pour tester les API afin de trouver plusieurs vulnérabilités web différentes.`
			`* [Susanoo](https://github.com/ant4g0nist/Susanoo) : Scanner de vulnérabilité d'API.`
			`* [restler-fuzzer](https://github.com/microsoft/restler-fuzzer) : RESTler est le _premier outil de fuzzing d'API REST étatique_ pour tester automatiquement les services cloud via leurs API REST et trouver des bugs de sécurité et de fiabilité dans ces services. Pour un service cloud donné avec une spécification OpenAPI/Swagger, RESTler analyse l'ensemble de sa spécification, puis génère et exécute des tests qui exercent le service via son API REST.`
			`* [TnT-Fuzzer](https://github.com/Teebytes/TnT-Fuzzer): TnT-Fuzzer est un fuzzer OpenAPI (swagger) écrit en python.`
			`* [APIFuzzer](https://github.com/KissPeter/APIFuzzer): APIFuzzer lit la description de votre API et fuzz les champs étape par étape pour valider si votre application peut gérer les paramètres fuzzés.`
			`* [API-fuzzer](https://github.com/Fuzzapi/API-fuzzer) : Le gem API\_Fuzzer accepte une requête API en entrée et renvoie les vulnérabilités possibles dans l'API.`
			`* [race-the-web](https://github.com/TheHackerDev/race-the-web) : Tests pour les conditions de course dans les applications web en envoyant un nombre spécifié d'URL cibles simultanément, puis compare les réponses du serveur pour leur unicité.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
update 2023-01-01 16:19:07 +00:00			`![](<../.gitbook/assets/image (9) (1) (2).png>)`
GitBook: [#3240] No subject 2022-06-06 22:28:05 +00:00
update 2023-01-01 16:19:07 +00:00			`\`
Translated to French 2023-06-03 13:10:46 +00:00			`Utilisez [Trickest](https://trickest.io/) pour construire facilement et automatiser des workflows alimentés par les outils communautaires les plus avancés au monde.\`
			`Obtenez l'accès aujourd'hui :`
GitBook: [#3240] No subject 2022-06-06 22:28:05 +00:00
update 2023-01-01 16:19:07 +00:00			`{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}`
GitBook: [#3240] No subject 2022-06-06 22:28:05 +00:00
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`* Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
			`* Découvrez [The PEASS Family](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Rejoignez le [💬](https://emojipedia.org/speech-balloon/) [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`