mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 13:13:41 +00:00
6.5 KiB
6.5 KiB
Pentesting de API web
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección de exclusivos NFTs
- Consigue el swag oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.
Usa Trickest para construir y automatizar flujos de trabajo con las herramientas de la comunidad más avanzadas del mundo.
Obtén acceso hoy:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Información básica
Principal:
- Servicios web (SOAP/XML)
- La documentación utiliza el formato WSDL y generalmente se guarda en la ruta
?wsdlcomohttps://api.example.com/api/?wsdl - Un ejemplo de esta documentación se puede encontrar en http://www.dneonline.com/calculator.asmx (documento WSDL en http://www.dneonline.com/calculator.asmx?wsdl) y se puede ver una solicitud de ejemplo llamando al método
Adden [http://www.dneonline.com/calculator.asmx?op=Add](http://www.d
- La documentación utiliza el formato WSDL y generalmente se guarda en la ruta
kr scan https://domain.com/api/ -w routes-large.kite -x 20 # Downloaded from kiterunner repo
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
- automatic-api-attack-tool: La herramienta de ataque API personalizable de Imperva toma una especificación de API como entrada, genera y ejecuta ataques basados en ella como salida.
- Astra: Otra herramienta para pruebas de API para encontrar varias vulnerabilidades web diferentes.
- Susanoo: Escáner de vulnerabilidades API.
- restler-fuzzer: RESTler es la primera herramienta de fuzzing de API REST con estado para probar automáticamente servicios en la nube a través de sus API REST y encontrar errores de seguridad y confiabilidad en estos servicios. Para un servicio en la nube dado con una especificación OpenAPI/Swagger, RESTler analiza toda su especificación y luego genera y ejecuta pruebas que ejercen el servicio a través de su API REST.
- TnT-Fuzzer: TnT-Fuzzer es un fuzzer OpenAPI (swagger) escrito en python.
- APIFuzzer: APIFuzzer lee la descripción de su API y, paso a paso, hace fuzzing de los campos para validar si su aplicación puede manejar los parámetros fuzzed.
- API-fuzzer: La gema API_Fuzzer acepta una solicitud de API como entrada y devuelve las vulnerabilidades posibles en la API.
- race-the-web: Pruebas para condiciones de carrera en aplicaciones web enviando un número especificado de solicitudes a una URL (o URLs) simultáneamente, y luego compara las respuestas del servidor para determinar su unicidad.
Use Trickest para construir y automatizar flujos de trabajo fácilmente con las herramientas de la comunidad más avanzadas del mundo.
Obtenga acceso hoy:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabaja en una empresa de ciberseguridad? ¿Quiere ver su empresa anunciada en HackTricks? ¿O quiere tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulte los PLANES DE SUSCRIPCIÓN!
- Descubra The PEASS Family, nuestra colección exclusiva de NFTs
- Obtenga el swag oficial de PEASS y HackTricks
- Únase al 💬 grupo de Discord o al grupo de telegram o sígame en Twitter 🐦@carlospolopm.
- Comparta sus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.