hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

Upimaji wa API ya Wavuti

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalamu wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

• Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
• Pata bidhaa rasmi za PEASS & HackTricks
• Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
• Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
• Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

Tumia Trickest kujenga na kutumia mifumo ya kazi kwa kutumia zana za jamii za juu zaidi ulimwenguni.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Muhtasari wa Mbinu ya Upimaji wa API

Upimaji wa APIs unahusisha njia iliyopangwa ya kugundua mapungufu. Mwongozo huu unajumuisha mbinu kamili, ukitilia mkazo mbinu na zana za vitendo.

Kuelewa Aina za API

• Huduma za Wavuti za SOAP/XML: Tumia muundo wa WSDL kwa nyaraka, mara nyingi zinapatikana kwenye njia za ?wsdl. Zana kama SOAPUI na WSDLer (Kifaa cha Burp Suite) ni muhimu kwa kuchambua na kuzalisha maombi. Nyaraka ya mfano inapatikana kwa DNE Online.
• REST APIs (JSON): Nyaraka mara nyingi huja katika faili za WADL, lakini zana kama Swagger UI hutoa kiolesura cha urafiki zaidi kwa mwingiliano. Postman ni zana muhimu kwa kuunda na kusimamia maombi ya mfano.
• GraphQL: Lugha ya kuuliza kwa APIs inayotoa maelezo kamili na rahisi kueleweka ya data kwenye API yako.

Maabara za Mazoezi

• VAmPI: API inayoweza kudhurika kwa makusudi kwa mazoezi ya vitendo, ikijumuisha mapungufu ya juu 10 ya API za OWASP.

Mbinu Zenye Ufanisi za Upimaji wa API

• Mapungufu ya SOAP/XML: Chunguza mapungufu ya XXE, ingawa matangazo ya DTD mara nyingi huwa yamezuiliwa. Vitambulisho vya CDATA vinaweza kuruhusu kuingiza mzigo ikiwa XML inabaki kuwa halali.
• Kupandisha Hadhi: Jaribu vituo vya mwisho na viwango tofauti vya hadhi kutambua uwezekano wa kupata ufikiaji usioruhusiwa.
• Mipangilio Mibaya ya CORS: Chunguza mipangilio ya CORS kwa uwezekano wa kutumia kwa mashambulizi ya CSRF kutoka kwa vikao vilivyothibitishwa.
• Kugundua Vituo vya Mwisho: Tumia mifano ya API kugundua vituo vilivyofichwa. Zana kama fuzzers zinaweza kusaidia kiotomatiki mchakato huu.
• Udanganyifu wa Parameta: Jaribu kuongeza au kubadilisha parameta katika maombi ili kupata data au kazi zisizoruhusiwa.
• Upimaji wa Mbinu za HTTP: Badilisha mbinu za ombi (GET, POST, PUT, DELETE, PATCH) kugundua tabia au kufichua habari isiyotarajiwa.
• Udhibiti wa Aina ya Yaliyomo: Badilisha kati ya aina tofauti za yaliyomo (x-www-form-urlencoded, application/xml, application/json) kwa ajili ya kupima matatizo au mapungufu ya uchambuzi.
• Mbinu za Parameta za Juu: Jaribu na aina za data zisizotarajiwa katika malipo ya JSON au cheza na data ya XML kwa kuingiza XXE. Pia, jaribu uchafuzi wa parameta na wahusika wa joker kwa upimaji mpana.
• Upimaji wa Toleo: Matoleo ya zamani ya API yanaweza kuwa rahisi kushambuliwa. Daima angalia na upime dhidi ya matoleo mengi ya API.

Zana na Rasilmali za Upimaji wa API

• kiterunner: Bora kwa kugundua vituo vya API. Tumia kuscan na kufanya nguvu dhidi ya njia na parameta kwenye API ya lengo.

kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

• Vifaa vingine kama automatic-api-attack-tool, Astra, na restler-fuzzer hutoa utendaji ulioboreshwa kwa ajili ya kupima usalama wa API, kutoka kwa mazoezi ya mashambulizi hadi kufanya fuzzing na uchunguzi wa mapungufu.

Vyanzo vya Kujifunza na Mazoezi

• OWASP API Security Top 10: Kusoma muhimu kwa kuelewa mapungufu ya kawaida ya API (OWASP Top 10).
• API Security Checklist: Orodha kamili ya kuhakikisha usalama wa APIs (GitHub link).
• Logger++ Filters: Kwa ajili ya kutafuta mapungufu ya API, Logger++ hutoa vichujio muhimu (GitHub link).
• API Endpoints List: Orodha iliyochaguliwa ya vituo vya API vinavyoweza kutumika kwa madhumuni ya majaribio (GitHub gist).

Marejeo

• https://github.com/Cyber-Guy1/API-SecurityEmpire

Tumia Trickest kujenga na kutumia kiotomatiki mifumo ya kazi inayotumia zana za jamii za juu zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

• Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
• Pata bidhaa rasmi za PEASS & HackTricks
• Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
• Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
• Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.