hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

Web API Pentesting

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou haktruuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

Gebruik Trickest om maklik te bou en werkstrome outomaties te laat hardloop met die wêreld se mees gevorderde gemeenskapshulpmiddels.
Kry Toegang Vandag:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

API Pentesting Metodologie Opsomming

Pentesting van API's behels 'n gestruktureerde benadering tot die ontdekking van kwesbaarhede. Hierdie gids omvat 'n omvattende metodologie, met klem op praktiese tegnieke en gereedskap.

Begrip van API-tipes

• SOAP/XML-webdiens: Gebruik die WSDL-formaat vir dokumentasie, tipies gevind by ?wsdl paaie. Gereedskap soos SOAPUI en WSDLer (Burp Suite-uitbreiding) is instrumenteel vir die ontleding en generering van versoek. Voorbeelddokumentasie is toeganklik by DNE Online.
• REST-API's (JSON): Dokumentasie kom dikwels in WADL-lêers voor, maar gereedskap soos Swagger UI bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. Postman is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeldversoeke.
• GraphQL: 'n vraagtaal vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.

Praktyk Laboratoriums

• VAmPI: 'n doelbewus kwesbare API vir praktiese oefening, wat die OWASP top 10 API-kwesbaarhede dek.

Doeltreffende Truuks vir API Pentesting

• SOAP/XML Kwesbaarhede: Verken XXE-kwesbaarhede, alhoewel DTD-verklarings dikwels beperk word. CDATA-etikette mag payload-invoeging toelaat as die XML geldig bly.
• Privilige-escalasie: Toets eindpunte met wisselende privilegieniveaus om ongemagtigde toegangsmoontlikhede te identifiseer.
• CORS-foutkonfigurasies: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanaf geauthentiseerde sessies.
• Eindpunt-ontdekking: Benut API-patrone om verskuilde eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.
• Parameter-manipulasie: Eksperimenteer met die byvoeging of vervanging van parameters in versoek om ongemagtigde data of funksionaliteite te ontsluit.
• HTTP-metodetoetsing: Wissel versoekmetodes (GET, POST, PUT, DELETE, PATCH) om onverwagte gedrag of inligtingsblootstellings te ontdek.
• Inhoudstipe-manipulasie: Skakel tussen verskillende inhoudstipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.
• Gevorderde Parameter Tegnieke: Toets met onverwagte datatipes in JSON-pakkette of speel met XML-data vir XXE-injeksies. Probeer ook parametervervuiling en wildkaartkarakters vir breër toetsing.
• Weergawe-toetsing: Ouer API-weergawes mag meer vatbaar wees vir aanvalle. Kontroleer altyd vir en toets teen meervoudige API-weergawes.

Gereedskap en Hulpbronne vir API Pentesting

• kiterunner: Uitstekend vir die ontdekking van API-eindpunte. Gebruik dit om te skandeer en bruto krag paaie en parameters teen teiken-API's.

kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

• Ekstra gereedskap soos automatic-api-attack-tool, Astra, en restler-fuzzer bied op maat gemaakte funksies vir API-sekuriteitstoetsing, wat strek van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.
• Cherrybomb: Dit is 'n API-sekuriteitswerktuig wat jou API oudit op grond van 'n OAS-lêer (die werktuig geskryf in roes).

Leer- en Oefenhulpbronne

• OWASP API Security Top 10: Essensiële leesstof vir die begrip van algemene API-kwesbaarhede (OWASP Top 10).
• API Security Checklist: 'n Omvattende lys vir die beveiliging van API's (GitHub skakel).
• Logger++ Filters: Vir die jag op API-kwesbaarhede, bied Logger++ nuttige filters (GitHub skakel).
• API Endpoints List: 'n Gekureerde lys van potensiële API-eindpunte vir toetsdoeleindes (GitHub gist).

Verwysings

• https://github.com/Cyber-Guy1/API-SecurityEmpire

Gebruik Trickest om maklik werkstrome te bou en outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapswerktuie.
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek Die PEASS-familie, ons versameling van eksklusiewe NFT's
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.