mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 14:40:37 +00:00
7.5 KiB
7.5 KiB
Ukaguzi wa Web API
Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
- Pata swag rasmi wa PEASS & HackTricks
- Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
- Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Tumia Trickest kujenga na kutumia workflows kwa urahisi zinazotumia zana za jamii za juu zaidi ulimwenguni.
Pata Ufikiaji Leo:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}
Muhtasari wa Mbinu ya Ukaguzi wa API
Ukaguzi wa APIs unahusisha njia iliyopangwa ya kugundua mapungufu. Mwongozo huu unajumuisha mbinu kamili, ukizingatia mbinu na zana za vitendo.
Kuelewa Aina za API
- SOAP/XML Huduma za Wavuti: Tumia muundo wa WSDL kwa nyaraka, mara nyingi zinapatikana kwenye njia za
?wsdl
. Zana kama SOAPUI na WSDLer (Burp Suite Extension) ni muhimu kwa kuchambua na kuzalisha maombi. Nyaraka ya mfano inapatikana kwa DNE Online. - REST APIs (JSON): Nyaraka mara nyingi huja katika faili za WADL, lakini zana kama Swagger UI hutoa interface rafiki zaidi kwa mwingiliano. Postman ni zana muhimu kwa kuunda na kusimamia maombi ya mfano.
- GraphQL: Lugha ya kuuliza kwa APIs inayotoa maelezo kamili na rahisi kueleweka ya data kwenye API yako.
Maabara za Mazoezi
- VAmPI: API inayoweza kudhurika kwa makusudi kwa mazoezi ya vitendo, ikijumuisha mapungufu ya juu 10 ya API za OWASP.
Mbinu Zenye Ufanisi za Ukaguzi wa API
- Mapungufu ya SOAP/XML: Chunguza mapungufu ya XXE, ingawa matangazo ya DTD mara nyingi huwa yamezuiliwa. Vitambulisho vya CDATA vinaweza kuruhusu kuingiza mzigo ikiwa XML inabaki kuwa halali.
- Kupandisha Hadhi: Jaribu vituo vya mwisho na viwango tofauti vya hadhi kutambua uwezekano wa kupata ufikiaji usioruhusiwa.
- Mipangilio Mibovu ya CORS: Chunguza mipangilio ya CORS kwa uwezekano wa kutumia kwa mashambulizi ya CSRF kutoka kwa vikao vilivyothibitishwa.
- Kugundua Vituo vya Mwisho: Tumia mifano ya API kugundua vituo vilivyofichwa. Zana kama fuzzers zinaweza kusaidia kiotomatiki mchakato huu.
- Udanganyifu wa Parameta: Jaribu kuongeza au kubadilisha parameta katika maombi kufikia data au kazi zisizoruhusiwa.
- Jaribio la Mbinu za HTTP: Badilisha mbinu za ombi (GET, POST, PUT, DELETE, PATCH) kugundua tabia au kufichua habari isiyotarajiwa.
- Udhibiti wa Aina ya Yaliyomo: Badilisha kati ya aina tofauti za yaliyomo (x-www-form-urlencoded, application/xml, application/json) kwa ajili ya kujaribu matatizo au mapungufu ya uchambuzi.
- Mbinu za Parameta za Juu: Jaribu na aina za data zisizotarajiwa katika malipo ya JSON au cheza na data ya XML kwa kuingiza XXE. Pia, jaribu uchafuzi wa parameta na wahusika wa joker kwa ukaguzi mpana.
- Jaribio la Toleo: Matoleo ya zamani ya API yanaweza kuwa rahisi zaidi kushambuliwa. Daima angalia na jaribu dhidi ya matoleo mengi ya API.
Zana na Rasilmali za Ukaguzi wa API
- kiterunner: Bora kwa kugundua vituo vya API. Tumia kuscan na kufanya nguvu dhidi ya njia na parameta kwenye API za lengo.
kr scan https://domain.com/api/ -w routes-large.kite -x 20
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
- Vifaa vingine kama automatic-api-attack-tool, Astra, na restler-fuzzer hutoa utendaji ulioboreshwa kwa ajili ya kupima usalama wa API, kutoka kwa mazoezi ya mashambulizi hadi kufanya fuzzing na uchunguzi wa mapungufu.
- Cherrybomb: Ni chombo cha usalama wa API kinachokagua API yako kulingana na faili ya OAS (chombo hicho kimeandikwa kwa lugha ya rust).
Vyanzo vya Kujifunza na Mazoezi
- OWASP API Security Top 10: Kusoma muhimu kwa kuelewa mapungufu ya kawaida ya API (OWASP Top 10).
- API Security Checklist: Orodha kamili ya kuhakikisha usalama wa APIs (GitHub link).
- Logger++ Filters: Kwa ajili ya kutafuta mapungufu ya API, Logger++ hutoa filamu muhimu (GitHub link).
- API Endpoints List: Orodha iliyochaguliwa ya API endpoints ya uwezekano kwa madhumuni ya majaribio (GitHub gist).
Marejeo
Tumia Trickest kujenga na kutumia mifumo kwa urahisi ikiwa na zana za jamii za juu zaidi duniani.
Pata Ufikiaji Leo:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=web-api-pentesting" %}
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
- Pata bidhaa rasmi za PEASS & HackTricks
- Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
- Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.