mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-29 08:01:00 +00:00
7.6 KiB
7.6 KiB
Testiranje Web API-ja
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane najnaprednijim alatima zajednice.
Dobijte pristup danas:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}
Sažetak Metodologije Testiranja API-ja
Testiranje API-ja uključuje strukturiran pristup otkrivanju ranjivosti. Ovaj vodič obuhvata sveobuhvatnu metodologiju, naglašavajući praktične tehnike i alate.
Razumevanje Tipova API-ja
- SOAP/XML Web Servisi: Koristite WSDL format za dokumentaciju, obično pronađenu na putanjama
?wsdl
. Alati poput SOAPUI i WSDLer (Burp Suite Extension) su instrumentalni za parsiranje i generisanje zahteva. Primer dokumentacije je dostupan na DNE Online. - REST API-ji (JSON): Dokumentacija često dolazi u WADL fajlovima, ali alati poput Swagger UI pružaju korisniji interfejs za interakciju. Postman je vredan alat za kreiranje i upravljanje primer zahtevima.
- GraphQL: Upitni jezik za API-je koji nudi potpisan i razumljiv opis podataka u vašem API-ju.
Vežbačke Laboratorije
- VAmPI: Namerno ranjiv API za praktičnu vežbu, koji pokriva OWASP top 10 API ranjivosti.
Efikasni Trikovi za Testiranje API-ja
- SOAP/XML Ranjivosti: Istražite XXE ranjivosti, iako su deklaracije DTD-a često ograničene. CDATA tagovi mogu omogućiti umetanje payload-a ako XML ostane validan.
- Eskalacija Privilegija: Testirajte endpointe sa različitim nivoima privilegija kako biste identifikovali mogućnosti neovlašćenog pristupa.
- CORS Pogrešne Konfiguracije: Istražite CORS podešavanja radi potencijalne iskoristivosti putem CSRF napada iz autentifikovanih sesija.
- Otkrivanje Endpoinata: Iskoristite obrasce API-ja da otkrijete skrivene endpoinate. Alati poput fuzera mogu automatizovati ovaj proces.
- Manipulacija Parametrima: Eksperimentišite sa dodavanjem ili zamenom parametara u zahtevima kako biste pristupili neovlašćenim podacima ili funkcionalnostima.
- Testiranje HTTP Metoda: Varirajte metode zahteva (GET, POST, PUT, DELETE, PATCH) kako biste otkrili neočekivano ponašanje ili otkrivanje informacija.
- Manipulacija Tipom Sadržaja: Prebacujte se između različitih tipova sadržaja (x-www-form-urlencoded, application/xml, application/json) kako biste testirali probleme sa parsiranjem ili ranjivosti.
- Napredne Tehnike Parametara: Testirajte sa neočekivanim tipovima podataka u JSON payload-ima ili igrajte se sa XML podacima za XXE ubacivanja. Takođe, pokušajte sa zagađivanjem parametara i wildcard karakterima za šire testiranje.
- Testiranje Verzija: Starije verzije API-ja mogu biti podložnije napadima. Uvek proverite i testirajte protiv više verzija API-ja.
Alati i Resursi za Testiranje API-ja
- kiterunner: Odličan za otkrivanje API endpoinata. Koristite ga za skeniranje i brute force putanja i parametara protiv ciljanih API-ja.
kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
- Dodatni alati poput automatic-api-attack-tool, Astra i restler-fuzzer nude prilagođene funkcionalnosti za testiranje sigurnosti API-ja, uključujući simulaciju napada, fuzzing i skeniranje ranjivosti.
- Cherrybomb: To je alat za sigurnost API-ja koji proverava vaš API na osnovu OAS datoteke (alat je napisan u rust jeziku).
Resursi za učenje i vežbanje
- OWASP API Security Top 10: Osnovno štivo za razumevanje uobičajenih ranjivosti API-ja (OWASP Top 10).
- API Security Checklist: Kompletna lista za obezbeđivanje API-ja (GitHub link).
- Logger++ Filters: Za pronalaženje ranjivosti API-ja, Logger++ nudi korisne filtere (GitHub link).
- API Endpoints List: Odabrana lista potencijalnih API endpointa za testiranje (GitHub gist).
Reference
Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane najnaprednijim alatima zajednice.
Dobijte pristup danas:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.