# Web API Pentesting

<details>

<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>

<figure><img src="../../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik te bou en **werkstrome outomaties** te dryf met die wêreld se **mees gevorderde** gemeenskapshulpmiddels.\
Kry Vandaag Toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

## API Pentesting Metodologie Opsomming

Pentesting van API's behels 'n gestruktureerde benadering om kwesbaarhede bloot te lê. Hierdie gids omvat 'n omvattende metodologie, met klem op praktiese tegnieke en gereedskap.

### **Begrip van API-tipes**

* **SOAP/XML-webdiens**: Gebruik die WSDL-formaat vir dokumentasie, tipies gevind by `?wsdl` paaie. Gereedskap soos **SOAPUI** en **WSDLer** (Burp Suite-uitbreiding) is instrumenteel vir die ontleding en generering van versoek. Voorbeelddokumentasie is toeganklik by [DNE Online](http://www.dneonline.com/calculator.asmx).
* **REST-API's (JSON)**: Dokumentasie kom dikwels in WADL-lêers voor, maar gereedskap soos [Swagger UI](https://swagger.io/tools/swagger-ui/) bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. **Postman** is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeldversoeke.
* **GraphQL**: 'n vraagtaal vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.

### **Oefen Laboratoriums**

* [**VAmPI**](https://github.com/erev0s/VAmPI): 'n doelbewus kwesbare API vir praktiese oefening, wat die OWASP top 10 API-kwesbaarhede dek.

### **Doeltreffende Truuks vir API Pentesting**

* **SOAP/XML-kwesbaarhede**: Verken XXE-kwesbaarhede, alhoewel DTD-verklarings dikwels beperk word. CDATA-etikette mag payload-invoeging toelaat as die XML geldig bly.
* **Bevoorregtingseskalasie**: Toets eindpunte met wisselende bevoorregtingsvlakke om ongemagtigde toegangsmoontlikhede te identifiseer.
* **CORS-foutkonfigurasies**: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanaf geauthentiseerde sessies.
* **Eindpuntontdekking**: Benut API-patrone om verskuilde eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.
* **Parametermanipulasie**: Eksperimenteer met die byvoeging of vervanging van parameters in versoek om ongemagtigde data of funksionaliteite te benader.
* **HTTP-metodetoetsing**: Wissel versoekmetodes (GET, POST, PUT, DELETE, PATCH) om onverwagte gedrag of inligtingsblootstellings te ontbloot.
* **Inhoudstipe-manipulasie**: Skakel tussen verskillende inhoudstipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.
* **Gevorderde Parameter Tegnieke**: Toets met onverwagte datatipes in JSON-payloads of speel met XML-data vir XXE-inspuitings. Probeer ook parametervervuiling en wildkaartkarakters vir breër toetsing.
* **Weergawe Toetsing**: Ouer API-weergawes mag meer vatbaar wees vir aanvalle. Kontroleer altyd vir en toets teen meervoudige API-weergawes.

### **Gereedskap en Hulpbronne vir API Pentesting**

* **kiterunner**: Uitstekend vir die ontdekking van API-eindpunte. Gebruik dit om te skandeer en bruto krag paaie en parameters teen teiken-API's.
```bash
kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
```
* Ekstra gereedskap soos **automatic-api-attack-tool**, **Astra**, en **restler-fuzzer** bied op maat gemaakte funksies vir API-sekuriteitstoetsing, wat strek van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.

### **Leer- en Oefenhulpbronne**

* **OWASP API Security Top 10**: Essensiële leesstof vir die begrip van algemene API-kwesbaarhede ([OWASP Top 10](https://github.com/OWASP/API-Security/blob/master/2019/en/dist/owasp-api-security-top-10.pdf)).
* **API Security Checklist**: 'n Omvattende lys vir die beveiliging van API's ([GitHub skakel](https://github.com/shieldfy/API-Security-Checklist)).
* **Logger++ Filters**: Vir die jag op API-kwesbaarhede bied Logger++ nuttige filters ([GitHub skakel](https://github.com/bnematzadeh/LoggerPlusPlus-API-Filters)).
* **API Endpoints List**: 'n Saamgestelde lys van potensiële API-eindpunte vir toetsdoeleindes ([GitHub gist](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d)).

## Verwysings

* [https://github.com/Cyber-Guy1/API-SecurityEmpire](https://github.com/Cyber-Guy1/API-SecurityEmpire)

<figure><img src="../../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik **werkstrome te bou en outomatiseer** wat aangedryf word deur die wêreld se **mees gevorderde** gemeenskapshulpmiddels.\
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kontroleer die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>