hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

7.5 KiB

Web API Pentesting

{% hint style="success" %} Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word.
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

API Pentesting Metodologie Opsomming

Pentesting API's behels 'n gestruktureerde benadering tot die ontdekking van kwesbaarhede. Hierdie gids sluit 'n omvattende metodologie in, wat praktiese tegnieke en gereedskap beklemtoon.

Begrip van API Tipes

  • SOAP/XML Web Dienste: Gebruik die WSDL-formaat vir dokumentasie, wat tipies by ?wsdl paaie gevind word. Gereedskap soos SOAPUI en WSDLer (Burp Suite Extension) is noodsaaklik vir die ontleding en generering van versoeke. Voorbeeld dokumentasie is beskikbaar by DNE Online.
  • REST API's (JSON): Dokumentasie kom dikwels in WADL-lêers, maar gereedskap soos Swagger UI bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. Postman is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeld versoeke.
  • GraphQL: 'n Vra taal vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.

Oefen Laboratoriums

  • VAmPI: 'n Opsetlik kwesbare API vir praktiese oefening, wat die OWASP top 10 API kwesbaarhede dek.

Doeltreffende Truuks vir API Pentesting

  • SOAP/XML Kwesbaarhede: Verken XXE kwesbaarhede, alhoewel DTD-verklarings dikwels beperk is. CDATA-tags mag payload-invoeging toelaat as die XML geldig bly.
  • Privilegie Eskalasie: Toets eindpunte met verskillende priviligie vlakke om ongeoorloofde toegang moontlikhede te identifiseer.
  • CORS Misconfigurasies: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanuit geverifieerde sessies.
  • Eindpunt Ontdekking: Gebruik API patrone om verborge eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.
  • Parameter Manipulasie: Eksperimenteer met die toevoeging of vervanging van parameters in versoeke om toegang tot ongeoorloofde data of funksies te verkry.
  • HTTP Metode Toetsing: Varieer versoekmetodes (GET, POST, PUT, DELETE, PATCH) om onverwagte gedrag of inligtingsontsluitings te ontdek.
  • Inhoud-Tipe Manipulasie: Wissel tussen verskillende inhoudstipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.
  • Gevorderde Parameter Tegnieke: Toets met onverwagte datatipe in JSON payloads of speel met XML data vir XXE inspuitings. Probeer ook parameter besoedeling en wildcard karakters vir breër toetsing.
  • Weergawe Toetsing: Ou API weergawes mag meer kwesbaar wees vir aanvalle. Kyk altyd na en toets teen verskeie API weergawes.

Gereedskap en Hulpbronne vir API Pentesting

  • kiterunner: Uitstekend vir die ontdekking van API eindpunte. Gebruik dit om paaie en parameters teen teiken API's te skandeer en brute force.
kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
  • Bykomende gereedskap soos automatic-api-attack-tool, Astra, en restler-fuzzer bied op maat gemaakte funksies vir API-sekuriteitstoetsing, wat wissel van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.
  • Cherrybomb: Dit is 'n API-sekuriteitsgereedskap wat jou API oudit op grond van 'n OAS-lêer (die gereedskap is in rust geskryf).

Leer- en Praktiese Hulpbronne

  • OWASP API Sekuriteit Top 10: Essensiële leesstof om algemene API-kwesbaarhede te verstaan (OWASP Top 10).
  • API Sekuriteitskontrolelys: 'n Omvattende kontrolelys vir die beveiliging van API's (GitHub skakel).
  • Logger++ Filters: Vir die jag op API-kwesbaarhede bied Logger++ nuttige filters (GitHub skakel).
  • API Eindpunte Lys: 'n Gekureerde lys van potensiële API-eindpunte vir toetsdoeleindes (GitHub gist).

Verwysings

Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se mees gevorderde gemeenskapsgereedskap aangedryf word.
Kry Toegang Vandag:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

{% hint style="success" %} Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)

Ondersteun HackTricks
{% endhint %}