hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

Pentesting de API web

Aprende a hackear AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Obtén el oficial PEASS & HackTricks swag
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente con las herramientas comunitarias más avanzadas del mundo.
¡Accede hoy mismo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Resumen de la Metodología de Pentesting de API

El pentesting de APIs implica un enfoque estructurado para descubrir vulnerabilidades. Esta guía encapsula una metodología integral, enfatizando técnicas y herramientas prácticas.

Comprendiendo los Tipos de API

• Servicios Web SOAP/XML: Utiliza el formato WSDL para la documentación, que suele encontrarse en rutas ?wsdl. Herramientas como SOAPUI y WSDLer (Extensión de Burp Suite) son fundamentales para analizar y generar solicitudes. La documentación de ejemplo está disponible en DNE Online.
• APIs REST (JSON): La documentación a menudo se presenta en archivos WADL, pero herramientas como Swagger UI ofrecen una interfaz más amigable para la interacción. Postman es una herramienta valiosa para crear y gestionar solicitudes de ejemplo.
• GraphQL: Un lenguaje de consulta para APIs que ofrece una descripción completa y comprensible de los datos en tu API.

Laboratorios de Práctica

• VAmPI: Una API deliberadamente vulnerable para prácticas prácticas, que cubre las 10 principales vulnerabilidades de API de OWASP.

Trucos Efectivos para el Pentesting de API

• Vulnerabilidades SOAP/XML: Explora vulnerabilidades XXE, aunque las declaraciones DTD suelen estar restringidas. Las etiquetas CDATA pueden permitir la inserción de payloads si el XML sigue siendo válido.
• Escalada de Privilegios: Prueba los endpoints con diferentes niveles de privilegio para identificar posibles accesos no autorizados.
• Configuraciones Incorrectas de CORS: Investiga la configuración de CORS para posibles explotaciones a través de ataques CSRF desde sesiones autenticadas.
• Descubrimiento de Endpoints: Aprovecha los patrones de la API para descubrir endpoints ocultos. Herramientas como fuzzers pueden automatizar este proceso.
• Manipulación de Parámetros: Experimenta añadiendo o reemplazando parámetros en las solicitudes para acceder a datos o funcionalidades no autorizados.
• Pruebas de Métodos HTTP: Varía los métodos de solicitud (GET, POST, PUT, DELETE, PATCH) para descubrir comportamientos inesperados o revelaciones de información.
• Manipulación de Tipo de Contenido: Cambia entre diferentes tipos de contenido (x-www-form-urlencoded, application/xml, application/json) para probar problemas de análisis o vulnerabilidades.
• Técnicas Avanzadas de Parámetros: Prueba con tipos de datos inesperados en cargas JSON o juega con datos XML para inyecciones XXE. También prueba la contaminación de parámetros y caracteres comodín para pruebas más amplias.
• Pruebas de Versiones: Las versiones antiguas de API pueden ser más susceptibles a ataques. Siempre verifica y prueba contra múltiples versiones de API.

Herramientas y Recursos para el Pentesting de API

• kiterunner: Excelente para descubrir endpoints de API. Úsalo para escanear y realizar fuerza bruta en rutas y parámetros contra APIs objetivo.

kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

• Herramientas adicionales como automatic-api-attack-tool, Astra y restler-fuzzer ofrecen funcionalidades personalizadas para pruebas de seguridad de API, que van desde simulación de ataques hasta fuzzing y escaneo de vulnerabilidades.

Recursos de Aprendizaje y Práctica

• OWASP API Security Top 10: Lectura esencial para comprender las vulnerabilidades comunes de API (OWASP Top 10).
• Lista de Verificación de Seguridad de API: Una lista de verificación completa para asegurar APIs (enlace de GitHub).
• Filtros de Logger++: Para buscar vulnerabilidades de API, Logger++ ofrece filtros útiles (enlace de GitHub).
• Lista de Endpoints de API: Una lista seleccionada de posibles endpoints de API para propósitos de prueba (gist de GitHub).

Referencias

• https://github.com/Cyber-Guy1/API-SecurityEmpire

Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente con las herramientas comunitarias más avanzadas del mundo.
¡Accede hoy mismo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF, ¡consulta los PLANES DE SUSCRIPCIÓN!
• Obtén merchandising oficial de PEASS & HackTricks
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.