mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-24 03:53:29 +00:00
6.5 KiB
6.5 KiB
Pentestage d'API Web
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT!
- Découvrez The PEASS Family, notre collection d'NFT exclusifs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.
Utilisez Trickest pour créer et automatiser des workflows alimentés par les outils communautaires les plus avancés au monde.
Obtenez l'accès aujourd'hui :
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Informations de base
Principal :
- Services Web (SOAP/XML)
- La documentation utilise le format WSDL et est généralement enregistrée dans le chemin
?wsdl
commehttps://api.example.com/api/?wsdl
- Un exemple de cette documentation peut être trouvé dans http://www.dneonline.com/calculator.asmx (document WSDL dans http://www.dneonline.com/calculator.asmx?wsdl) et vous pouvez voir une demande d'exemple appelant la méthode
Add
dans [http://www.dneonline.com/calculator
- La documentation utilise le format WSDL et est généralement enregistrée dans le chemin
kr scan https://domain.com/api/ -w routes-large.kite -x 20 # Downloaded from kiterunner repo
kr scan https://domain.com/api/ -A=apiroutes-220828 -x 20
kr brute https://domain.com/api/ -A=raft-large-words -x 20 -d=0
kr brute https://domain.com/api/ -w /tmp/lang-english.txt -x 20 -d=0
- automatic-api-attack-tool : L'outil d'attaque d'API personnalisable d'Imperva prend une spécification d'API en entrée, génère et exécute des attaques basées sur celle-ci en sortie.
- Astra : Un autre outil pour tester les API afin de trouver plusieurs vulnérabilités web différentes.
- Susanoo : Scanner de vulnérabilité d'API.
- restler-fuzzer : RESTler est le premier outil de fuzzing d'API REST étatique pour tester automatiquement les services cloud via leurs API REST et trouver des bugs de sécurité et de fiabilité dans ces services. Pour un service cloud donné avec une spécification OpenAPI/Swagger, RESTler analyse l'ensemble de sa spécification, puis génère et exécute des tests qui exercent le service via son API REST.
- TnT-Fuzzer: TnT-Fuzzer est un fuzzer OpenAPI (swagger) écrit en python.
- APIFuzzer: APIFuzzer lit la description de votre API et fuzz les champs étape par étape pour valider si votre application peut gérer les paramètres fuzzés.
- API-fuzzer : Le gem API_Fuzzer accepte une requête API en entrée et renvoie les vulnérabilités possibles dans l'API.
- race-the-web : Tests pour les conditions de course dans les applications web en envoyant un nombre spécifié d'URL cibles simultanément, puis compare les réponses du serveur pour leur unicité.
Utilisez Trickest pour construire facilement et automatiser des workflows alimentés par les outils communautaires les plus avancés au monde.
Obtenez l'accès aujourd'hui :
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.