hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

Web API Pentesting

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

Gebruik Trickest om maklik werkstrome te bou en outomatiseer met behulp van die wêreld se mees gevorderde gemeenskapsinstrumente.
Kry vandag toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

API Pentesting Metodologie Opsomming

Pentesting van API's behels 'n gestruktureerde benadering om kwesbaarhede bloot te lê. Hierdie gids omvat 'n omvattende metodologie wat praktiese tegnieke en gereedskap beklemtoon.

Begrip van API-tipes

• SOAP/XML-webdienste: Maak gebruik van die WSDL-formaat vir dokumentasie, wat tipies gevind word by ?wsdl-paaie. Gereedskap soos SOAPUI en WSDLer (Burp Suite-uitbreiding) is instrumenteel vir die ontleding en generering van versoeke. Voorbeelddokumentasie is toeganklik by DNE Online.

• REST-API's (JSON): Dokumentasie kom dikwels voor in WADL-lêers, maar gereedskap soos Swagger UI bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. Postman is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeldversoeke.

• GraphQL: 'n Navraagtale vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.

Praktyk Laboratoriums

• VAmPI: 'n Doelbewus kwesbare API vir praktiese oefening, wat die OWASP top 10 API-kwesbaarhede dek.

Doeltreffende Truuks vir API Pentesting

• SOAP/XML-kwesbaarhede: Verken XXE-kwesbaarhede, alhoewel DTD-verklarings dikwels beperk is. CDATA-etikette mag inskakeling van nutslading moontlik maak as die XML geldig bly.

• Bevoorregte Eskalasie: Toets eindpunte met verskillende bevoorregtingsvlakke om ongemagtigde toegangsmoontlikhede te identifiseer.

• CORS-misconfigurations: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanaf geauthentiseerde sessies.

• Eindpuntontdekking: Benut API-patrone om verskuilde eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.

• Parameterverandering: Eksperimenteer met die byvoeging of vervanging van parameters in versoeke om ongemagtigde data of funksionaliteit te ontsluit.

• HTTP-metodetoetsing: Wissel versoeke metodes (GET, POST, PUT, DELETE, PATCH) om onverwagte gedrag of inligtingsoopmaking te ontdek.

• Content-Type-manipulasie: Wissel tussen verskillende inhoudstipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.

• Gevorderde Parameter Tegnieke: Toets met onverwagte datatipes in JSON-nutsladings of speel met XML-data vir XXE-inspuitings. Probeer ook parametervervuiling en wildcardskarakters vir breër toetsing.

• Weergawe Toetsing: Ouer API-weergawes mag meer vatbaar wees vir aanvalle. Kontroleer altyd vir en toets teen verskeie API-weergawes.

Gereedskap en Hulpbronne vir API Pentesting

• kiterunner: Uitstekend vir die ontdekking van API-eindpunte. Gebruik dit om te skandeer en brute force-paaie en parameters teen teiken-API's.

kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0

• Bykomende gereedskap soos automatic-api-attack-tool, Astra, en restler-fuzzer bied op maat gemaakte funksionaliteit vir API-sekuriteitstoetsing, wat wissel van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.

Leer- en oefenhulpbronne

• OWASP API Security Top 10: Essensiële leesstof vir die verstaan van algemene API-kwesbaarhede (OWASP Top 10).

• API Security Checklist: 'n Omvattende lys vir die beveiliging van API's (GitHub-skakel).

• Logger++ Filters: Vir die jag van API-kwesbaarhede bied Logger++ nuttige filters (GitHub-skakel).

• API Endpoints-lys: 'n Saamgestelde lys van potensiële API-eindpunte vir toetsdoeleindes (GitHub gist).

Verwysings

• https://github.com/Cyber-Guy1/API-SecurityEmpire

Gebruik Trickest om maklik werkstrome te bou en outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente.
Kry vandag toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat, kyk na die SUBSCRIPTION PLANS!
• Kry die amptelike PEASS & HackTricks-uitrusting
• Ontdek The PEASS Family, ons versameling eksklusiewe NFT's
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslagplekke.