Translated ['network-services-pentesting/pentesting-web/web-api-pentesti

2024-11-15 09:27:32 +00:00 · 2024-05-05 17:49:06 +00:00 · 2024-05-05 17:49:06 +00:00 · 671f97a3d3
commit 671f97a3d3
parent 0c722f7dca
1 changed files with 28 additions and 28 deletions
--- a/network-services-pentesting/pentesting-web/web-api-pentesting.md
+++ b/network-services-pentesting/pentesting-web/web-api-pentesting.md
@ -1,55 +1,55 @@
-# Ελεγχος Πενετραρισμού Ιστοσελίδων API
+# Ελεγχος Πεντεστινγκ Ιστού API

 <details>

-<summary><strong>Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Ειδικός Ερυθρού Συνεργείου AWS του HackTricks)</strong></a><strong>!</strong></summary>
+<summary><strong>Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Ειδικός Ερυθρού Συνεργείου HackTricks AWS)</strong></a><strong>!</strong></summary>

-Άλλοι τρόποι υποστήριξης του HackTricks:
+Άλλοι τρόποι υποστήριξης των HackTricks:

-* Αν θέλετε να δείτε την **εταιρεία σας διαφημισμένη στο HackTricks** ή να **κατεβάσετε το HackTricks σε PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
+* Αν θέλετε να δείτε την **εταιρεία σας διαφημισμένη στα HackTricks** ή να **κατεβάσετε τα HackTricks σε PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
 * Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
-* Ανακαλύψτε [**την Οικογένεια PEASS**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
-* **Εγγραφείτε στη** 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα τηλεγράφου**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
+* Ανακαλύψτε [**Την Οικογένεια PEASS**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
+* **Εγγραφείτε** στην 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα τηλεγράφου**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
 * **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια του github.

 </details>

 <figure><img src="../../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

-Χρησιμοποιήστε το [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) για να δημιουργήσετε εύκολα και να **αυτοματοποιήσετε ροές εργασίας** με τα πιο προηγμένα εργαλεία της κοινότητας.\
+Χρησιμοποιήστε το [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=web-api-pentesting) για να δημιουργήσετε εύκολα και να **αυτοματοποιήσετε ροές εργασίας** με τα πιο προηγμένα εργαλεία της κοινότητας.\
 Αποκτήστε πρόσβαση σήμερα:

-{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
+{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

-## Σύνοψη Μεθοδολογίας Πενετραρίσματος API
+## Σύνοψη Μεθοδολογίας Πεντεστινγκ API

-Το πενετράρισμα των API περιλαμβάνει μια δομημένη προσέγγιση για την ανακάλυψη ευπαθειών. Αυτός ο οδηγός περιλαμβάνει μια περιεκτική μεθοδολογία, εστιάζοντας σε πρακτικές τεχνικές και εργαλεία.
+Ο έλεγχος πεντεστινγκ των API περιλαμβάνει μια δομημένη προσέγγιση για την ανακάλυψη ευπαθειών. Αυτός ο οδηγός περιλαμβάνει μια περιεκτική μεθοδολογία, εστιάζοντας σε πρακτικές τεχνικές και εργαλεία.

 ### **Κατανόηση Τύπων API**

-* **Υπηρεσίες Ιστού SOAP/XML**: Χρησιμοποιήστε τη μορφή WSDL για την τεκμηρίωση, συνήθως βρίσκεται στα μονοπάτια `?wsdl`. Εργαλεία όπως το **SOAPUI** και το **WSDLer** (Επέκταση Burp Suite) είναι χρήσιμα για την ανάλυση και τη δημιουργία αιτημάτων. Ένα παράδειγμα τεκμηρίωσης είναι προσβάσιμο στο [DNE Online](http://www.dneonline.com/calculator.asmx).
+* **Υπηρεσίες Ιστού SOAP/XML**: Χρησιμοποιήστε τη μορφή WSDL για την τεκμηρίωση, συνήθως βρίσκεται στα μονοπάτια `?wsdl`. Εργαλεία όπως το **SOAPUI** και το **WSDLer** (Επέκταση Burp Suite) είναι χρήσιμα για την ανάλυση και τη δημιουργία αιτημάτων. Η τεκμηρίωση παραδείγματος είναι προσβάσιμη στο [DNE Online](http://www.dneonline.com/calculator.asmx).
 * **REST APIs (JSON)**: Η τεκμηρίωση συχνά παρέχεται σε αρχεία WADL, αλλά εργαλεία όπως το [Swagger UI](https://swagger.io/tools/swagger-ui/) παρέχουν μια πιο φιλική προς τον χρήστη διεπαφή για αλληλεπίδραση. Το **Postman** είναι ένα πολύτιμο εργαλείο για τη δημιουργία και διαχείριση παραδειγματικών αιτημάτων.
-* **GraphQL**: Μια γλώσσα ερωτημάτων για τα API που προσφέρει μια πλήρη και κατανοητή περιγραφή των δεδομένων στο API σας.
+* **GraphQL**: Γλώσσα ερωτήσεων για τα API που προσφέρει μια πλήρη και κατανοητή περιγραφή των δεδομένων στο API σας.

 ### **Εργαστήρια Πρακτικής**

 * [**VAmPI**](https://github.com/erev0s/VAmPI): Ένα εσκεμμένα ευάλωτο API για πρακτική, καλύπτοντας τις κορυφαίες 10 ευπαθείες του OWASP στα API.

-### **Αποτελεσματικά Κόλπα για το Πενετράρισμα API**
+### **Αποτελεσματικά Κόλπα για τον Ελεγχο Πεντεστινγκ των API**

-* **Ευπαθείες SOAP/XML**: Εξερευνήστε ευπαθείες XXE, αν και οι δηλώσεις DTD περιορίζονται συχνά. Οι ετικέτες CDATA μπορεί να επιτρέψουν την εισαγωγή φορτίου αν το XML παραμένει έγκυρο.
+* **Ευπαθείες SOAP/XML**: Εξερευνήστε ευπαθείες XXE, αν και οι δηλώσεις DTD είναι συχνά περιορισμένες. Οι ετικέτες CDATA μπορεί να επιτρέψουν την εισαγωγή φορτίου αν το XML παραμένει έγκυρο.
 * **Ανόδου Προνομίων**: Δοκιμάστε τα σημεία άκρων με διαφορετικά επίπεδα προνομίων για την εντοπισμό πιθανοτήτων μη εξουσιοδοτημένης πρόσβασης.
 * **Εσφαλμένες Ρυθμίσεις CORS**: Ερευνήστε τις ρυθμίσεις CORS για πιθανή εκμετάλλευση μέσω επιθέσεων CSRF από πιστοποιημένες συνεδρίες.
-* **Ανακάλυψη Σημείων Ακροδέκτη**: Χρησιμοποιήστε τα πρότυπα του API για την ανακάλυψη κρυμμένων σημείων ακροδέκτη. Εργαλεία όπως οι fuzzers μπορούν να αυτοματοποιήσουν αυτήν τη διαδικασία.
+* **Ανακάλυψη Σημείων Άκρων**: Χρησιμοποιήστε πρότυπα API για την ανακάλυψη κρυμμένων σημείων άκρων. Εργαλεία όπως οι fuzzers μπορούν να αυτοματοποιήσουν αυτήν τη διαδικασία.
 * **Παραβίαση Παραμέτρων**: Εξετάστε την προσθήκη ή την αντικατάσταση παραμέτρων σε αιτήματα για πρόσβαση σε μη εξουσιοδοτημένα δεδομένα ή λειτουργίες.
-* **Δοκιμή Μεθόδων HTTP**: Ποικίλετε τις μεθόδους αιτημάτων (GET, POST, PUT, DELETE, PATCH) για την ανακάλυψη απροσδόκητων συμπεριφορών ή αποκαλύψεων πληροφοριών.
+* **Δοκιμή Μεθόδων HTTP**: Ποικίλετε τις μεθόδους αιτήσεων (GET, POST, PUT, DELETE, PATCH) για την ανακάλυψη απροσδόκητων συμπεριφορών ή αποκαλύψεων πληροφοριών.
 * **Αλλαγή Τύπου Περιεχομένου**: Μεταβείτε μεταξύ διαφορετικών τύπων περιεχομένου (x-www-form-urlencoded, application/xml, application/json) για να δοκιμάσετε προβλήματα ανάλυσης ή ευπαθείες.
-* **Προηγμένες Τεχνικές Παραμέτρων**: Δοκιμάστε με αναπάντεχους τύπους δεδομένων σε φορτία JSON ή παίξτε με δεδομένα XML για εισαγωγές XXE. Δοκιμάστε επίσης τη ρύπανση παραμέτρων και τους χαρακτήρες μπαλαντέρ για ευρύτερες δοκιμές.
-* **Δοκιμή Έκδοσης**: Οι παλαιότερες εκδόσεις API ενδέχεται να είναι πιο ευάλωτες σε επιθέσεις. Ελέγξτε πάντα και δοκιμάστε εναντίον πολλαπλών εκδόσεων API.
+* **Προηγμένες Τεχνικές Παραμέτρων**: Δοκιμάστε με απροσδόκητους τύπους δεδομένων σε φορτία JSON ή παίξτε με δεδομένα XML για ενσωματώσεις XXE. Δοκιμάστε επίσης τη ρύπανση παραμέτρων και χαρακτήρες μπαλαντέρ για ευρύτερη δοκιμή.
+* **Δοκιμή Εκδόσεων**: Οι παλαιότερες εκδόσεις API ενδέχεται να είναι πιο ευάλωτες σε επιθέσεις. Ελέγξτε πάντα και δοκιμάστε εναντίον πολλαπλών εκδόσεων API.

-### **Εργαλεία και Πόροι για το Πενετράρισμα API**
+### **Εργαλεία και Πόροι για τον Ελεγχο Πεντεστινγκ των API**

-* [**kiterunner**](https://github.com/assetnote/kiterunner): Εξαιρετικό για την ανακάλυψη σημείων ακροδέκτη API. Χρησιμοποιήστε το για σάρωση και επίθεση βίας σε μονοπάτια και παραμέτρους εναντίον στόχων API.
+* [**kiterunner**](https://github.com/assetnote/kiterunner): Εξαιρετικό για την ανακάλυψη σημείων άκρων API. Χρησιμοποιήστε το για σάρωση και επίθεση βίας σε μονοπάτια και παραμέτρους εναντίον στόχων API.
 ```bash
 kr scan https://domain.com/api/ -w routes-large.kite -x 20
 kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
@ -62,9 +62,9 @@ kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
 ### **Πηγές Μάθησης και Πρακτικής**

 * **OWASP API Security Top 10**: Απαραίτητη ανάγνωση για την κατανόηση των κοινών ευπαθειών των API ([OWASP Top 10](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf)).
-* **API Security Checklist**: Ένας περιεκτικός κατάλογος ελέγχου για την ασφάλεια των API ([Σύνδεσμος στο GitHub](https://github.com/shieldfy/API-Security-Checklist)).
-* **Logger++ Filters**: Για τον εντοπισμό ευπαθειών των API, το Logger++ προσφέρει χρήσιμα φίλτρα ([Σύνδεσμος στο GitHub](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)).
-* **API Endpoints List**: Μια επιμελώς επιλεγμένη λίστα πιθανών σημείων τερματισμού API για δοκιμαστικούς σκοπούς ([Σύνδεσμος στο GitHub gist](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)).
+* **API Security Checklist**: Ένας περιεκτικός κατάλογος ελέγχου για την ασφάλεια των API ([σύνδεσμος GitHub](https://github.com/shieldfy/API-Security-Checklist)).
+* **Φίλτρα Logger++**: Για τον εντοπισμό ευπαθειών των API, το Logger++ προσφέρει χρήσιμα φίλτρα ([σύνδεσμος GitHub](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)).
+* **Λίστα Τερματικών Σημείων API**: Μια επιμελώς επιλεγμένη λίστα πιθανών τερματικών σημείων API για δοκιμαστικούς σκοπούς ([gist GitHub](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)).

 ## Αναφορές

@ -72,10 +72,10 @@ kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

 <figure><img src="../../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

-Χρησιμοποιήστε το [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) για να δημιουργήσετε εύκολα και να **αυτοματοποιήσετε ροές εργασίας** με τα πιο προηγμένα εργαλεία της κοινότητας.\
-Αποκτήστε πρόσβαση σήμερα:
+Χρησιμοποιήστε το [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=web-api-pentesting) για να δημιουργήσετε εύκολα και να **αυτοματοποιήσετε ροές εργασίας** με τα πιο προηγμένα εργαλεία της κοινότητας.\
+Αποκτήστε Πρόσβαση Σήμερα:

-{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
+{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

 <details>

@ -83,10 +83,10 @@ kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

 Άλλοι τρόποι υποστήριξης του HackTricks:

-* Αν θέλετε να δείτε την **εταιρεία σας διαφημισμένη στο HackTricks** ή να **κατεβάσετε το HackTricks σε PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
+* Αν θέλετε να δείτε την **εταιρεία σας διαφημισμένη στο HackTricks** ή να **κατεβάσετε το HackTricks σε μορφή PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
 * Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
 * Ανακαλύψτε [**την Οικογένεια PEASS**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
-* **Εγγραφείτε** στην 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα τηλεγραφήματος**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
+* **Εγγραφείτε** στην 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα telegram**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
 * **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs** στα αποθετήρια του [**HackTricks**](https://github.com/carlospolop/hacktricks) και του [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

 </details>