hacktricks/network-services-pentesting/pentesting-web/web-api-pentesting.md

7.6 KiB

Web API Pentesting

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Gebruik Trickest om maklik te bou en werkstrome outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapshulpmiddels.
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

API Pentesting Metodologie Opsomming

Pentesting van API's behels 'n gestruktureerde benadering om kwesbaarhede bloot te lê. Hierdie gids omvat 'n omvattende metodologie, wat praktiese tegnieke en gereedskap beklemtoon.

Begrip van API-tipes

  • SOAP/XML-webdiens: Gebruik die WSDL-formaat vir dokumentasie, tipies gevind by ?wsdl paaie. Gereedskap soos SOAPUI en WSDLer (Burp Suite-uitbreiding) is instrumenteel vir die ontleding en generering van versoek. Voorbeelddokumentasie is toeganklik by DNE Online.
  • REST-API's (JSON): Dokumentasie kom dikwels in WADL-lêers voor, maar gereedskap soos Swagger UI bied 'n meer gebruikersvriendelike koppelvlak vir interaksie. Postman is 'n waardevolle gereedskap vir die skep en bestuur van voorbeeldversoeke.
  • GraphQL: 'n vraagtaal vir API's wat 'n volledige en verstaanbare beskrywing van die data in jou API bied.

Praktyk-laboratoria

  • VAmPI: 'n doelbewus kwesbare API vir praktiese oefening, wat die OWASP top 10 API-kwesbaarhede dek.

Doeltreffende Truuks vir API Pentesting

  • SOAP/XML-kwesbaarhede: Verken XXE-kwesbaarhede, alhoewel DTD-verklarings dikwels beperk word. CDATA-etikette mag payload-invoeging toelaat as die XML geldig bly.
  • Bevoorregtingseskalasie: Toets eindpunte met wisselende bevoorregtingsvlakke om ongemagtigde toegangsmoontlikhede te identifiseer.
  • CORS-foutkonfigurasies: Ondersoek CORS-instellings vir potensiële uitbuitbaarheid deur CSRF-aanvalle vanaf geauthentiseerde sessies.
  • Eindpunt-ontdekking: Benut API-patrone om verskuilde eindpunte te ontdek. Gereedskap soos fuzzers kan hierdie proses outomatiseer.
  • Parameter-manipulasie: Eksperimenteer met die byvoeging of vervanging van parameters in versoek om ongemagtigde data of funksionaliteite te benader.
  • HTTP-metodetoetsing: Wissel versoekmetodes (GET, POST, PUT, DELETE, PATCH) om onverwagte gedrag of inligtingsblootstellings te ontbloot.
  • Inhoudstipe-manipulasie: Skakel tussen verskillende inhoudstipes (x-www-form-urlencoded, application/xml, application/json) om te toets vir ontledingsprobleme of kwesbaarhede.
  • Gevorderde Parameter Tegnieke: Toets met onverwagte datatipes in JSON-ladinge of speel met XML-data vir XXE-inspuitings. Probeer ook parameterbesoedeling en wildkarakters vir wyer toetsing.
  • Weergawe-toetsing: Ouer API-weergawes mag meer vatbaar wees vir aanvalle. Kontroleer altyd vir en toets teen meervoudige API-weergawes.

Gereedskap en Hulpbronne vir API Pentesting

  • kiterunner: Uitstekend vir die ontdekking van API-eindpunte. Gebruik dit om te skandeer en bruto-krag paaie en parameters teen teiken-API's.
kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
  • Ekstra gereedskap soos automatic-api-attack-tool, Astra, en restler-fuzzer bied op maat gemaakte funksies vir API-sekuriteitstoetsing, wat strek van aanvalsimulasie tot fuzzing en kwesbaarheidsskandering.
  • Cherrybomb: Dit is 'n API-sekuriteitswerktuig wat jou API oudit op grond van 'n OAS-lêer (die werktuig geskryf in roes).

Leer- en Oefenhulpbronne

  • OWASP API Security Top 10: Essensiële leesstof vir die begrip van algemene API-kwesbaarhede (OWASP Top 10).
  • API Security Checklist: 'n Omvattende lys vir die beveiliging van API's (GitHub skakel).
  • Logger++ Filters: Vir die jag op API-kwesbaarhede, bied Logger++ nuttige filters (GitHub skakel).
  • API Endpoints List: 'n Saamgestelde lys van potensiële API-eindpunte vir toetsdoeleindes (GitHub gist).

Verwysings

Gebruik Trickest om maklik werkstrome te bou en te outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskaps gereedskap.
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: