Forwarded from Этичный Хакер
У большинства API есть конечная точка для создания, удаления, обновления и чтения объекта или группы объектов.
Если вы видите:
DELETE /api/item/32 (удаление)
То попробуйте:POST /api/item (создание)
GET /api/item/33 (чтение)
PUT /api/item/33 (обновление)
Затем протестируйте каждый из них на IDOR, поочередно проверяя аутентификацию и уровни доступа к различным объектам. Методологическое тестирование - лучший способ взломать API.Иногда тестирование API усложняется тем, что мы можем не знать нужные для запроса поля или параметры. Однако есть способы найти их, например: если вы знаете поля для GET, вы так же можете отправить и PUT, изменив некоторые значения.
Кроме того, есть инструменты, такие как Arjun, которые могут находить параметры, а иногда и сами API просто возвращают сообщения об ошибках, когда какой-то из параметров отсутствует.
#Web #API #IDOR
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Этичный Хакер
📟 Материалы по пентесту API
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
▫️ OWASP API Security Top 10 (на русском)
▫️ HolyTips
▫️ API-Audit-Checklist
▫️ 31-days-of-API-Security-Tips
▫️ API Security Checklist
▫️ OAuth 2.0 Threat Model Pentesting Checklist
▫️ JWT Security Cheat Sheet
▫️ Microservices Security Cheat Sheet
▫️ GraphQL Cheat Sheet
▫️ REST Assessment Cheat Sheet
▫️ REST Security Cheat Sheet
▫️ API Security Encyclopedia
#Web #API |💀 Этичный хакер
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
▫️ OWASP API Security Top 10 (на русском)
▫️ HolyTips
▫️ API-Audit-Checklist
▫️ 31-days-of-API-Security-Tips
▫️ API Security Checklist
▫️ OAuth 2.0 Threat Model Pentesting Checklist
▫️ JWT Security Cheat Sheet
▫️ Microservices Security Cheat Sheet
▫️ GraphQL Cheat Sheet
▫️ REST Assessment Cheat Sheet
▫️ REST Security Cheat Sheet
▫️ API Security Encyclopedia
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Этичный Хакер
APIKit - расширение с открытым исходном кодом, представляющее собой набор инструментов для обнаружения, сканирования и аудита API. Имеет активный и пассивный режим.
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Mr. Robot
| Привет, друг. На связи Эллиот.
У OWASP имеется список топ-10 API, чтобы повысить осведомленность о десяти наиболее актуальных рисков безопасности API. Список угроз основное внимание уделяется стратегиям и решениям, помогающим понять и смягчить уязвимости и риски безопасности, присущие API.— Вот топ-10 уязвимостей API, включенных в список:
1. Некорректная авторизация на уровне объектов#API
2. Некорректная аутентификация пользователей
3. Некорректная авторизация на уровне свойств объекта
4. Неограниченное потребление ресурсов
5. Некорректная авторизация на уровне функций
6. Неограниченный доступ к конфиденциальным бизнес-потокам
7. Подделка запроса на стороне сервера
8. Ошибки настроек безопасности
9. Ненадлежащее управление активами
10. Небезопасное использование API
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from Похек (Сергей Зыбнев)
OWASP OFFAT
#owasp #API #fuzzing
OFFensive Api Tester - это инструмент для автоматического тестирования API на основе OpenAPI. Он предоставляет возможность автоматически фаззить входные данные и использовать пользовательские данные во время тестов, заданных через конфигурационный файл YAML.
Что тестирует инструмент:
➡️ Restricted HTTP Methods
➡️ SQLi
➡️ BOLA
➡️ Data Exposure
➡️ BOPLA / Mass Assignment
➡️ Broken Access Control
➡️ Basic Command Injection
➡️ Basic XSS/HTML Injection test
Установка:
Использование банальное:
Давно слежу за инструментом, он активно обновляется , но пока ещё в бете.
У инструмента лицензия MIT, так что компании могут свободно его использовать.
А ещё есть готовые докеры)
🧩 Github
🌚 @poxek
#owasp #API #fuzzing
OFFensive Api Tester - это инструмент для автоматического тестирования API на основе OpenAPI. Он предоставляет возможность автоматически фаззить входные данные и использовать пользовательские данные во время тестов, заданных через конфигурационный файл YAML.
Что тестирует инструмент:
Установка:
python -m pip install offat
Использование банальное:
offat -f swagger_file.json
Давно слежу за инструментом, он активно обновляется , но пока ещё в бете.
У инструмента лицензия MIT, так что компании могут свободно его использовать.
А ещё есть готовые докеры)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек (Сергей Зыбнев)
api-fuzzing-lists.zip
8.7 MB
API FUZZING LISTS
#api #fuzzing
Вне очереди пост, очень вкусный сборник фаззинг вордлистов для API
Описание данного списка от автора:
744,000+ endpoints
357,000+ object properties
211,000+ object names
127,000+ query parameters
74,000+ parameter values
35,000+ path parameters
8,300+ headers
5,300+ paths
880+ common ports
Взял ТУТ
🌚 @poxek | 📹 YouTube
#api #fuzzing
Вне очереди пост, очень вкусный сборник фаззинг вордлистов для API
Описание данного списка от автора:
744,000+ endpoints
357,000+ object properties
211,000+ object names
127,000+ query parameters
74,000+ parameter values
35,000+ path parameters
8,300+ headers
5,300+ paths
880+ common ports
Взял ТУТ
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Forwarded from Похек
Reverse Engineer Android Apps for API Keys
#android #reverse #RE #mobile #pentest #API
Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.
➡️ Основные моменты статьи:
➡️ Описывается структура Android-приложений (APK-файлов), их компоненты и способы упаковки.
➡️ Даётся обзор инструментов для реверса и форензики Android, включая такие популярные решения, как Apktool, Androguard, jadx, а также специализированные forensic-утилиты вроде androick и backhack.
➡️ Пошагово разбирается процесс декомпиляции APK-файла, извлечения ресурсов, анализа манифеста и кода, поиска уязвимостей и вредоносных функций.
➡️ Приводятся советы по анализу разрешений, трекеров и подозрительных библиотек, а также по выявлению признаков компрометации или вредоносной активности.
➡️ Рассматриваются методы динамического анализа, включая запуск приложения на эмуляторе, мониторинг сетевых запросов и взаимодействие с файловой системой.
Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.
➡️ Необходимый тулинг
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.
Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.
🔗 Читать далее
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч
#android #reverse #RE #mobile #pentest #API
Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.
Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.
Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Кибер ПТУ | Кибербезопасность
api sec tests.pdf
1011.2 KB
Не стоит забывать про API
При тестировании веба всегда необходимо уделять время на проверку API. Это довольно обширный вектор атаки, в котором часто можно найти что-то интересное.
У OWASP есть рейтинг уязвимостей API, к этому рейтингу мы прикрепим майндмапу, которая поможет в нахождении уязвимостей из данного рейтинга. Также ещё делимся небольшим документом с гайдом по тестированию API, он поможет расширить вашу методологию тестирования.
Приятного чтения!
#Pentest #API
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
При тестировании веба всегда необходимо уделять время на проверку API. Это довольно обширный вектор атаки, в котором часто можно найти что-то интересное.
У OWASP есть рейтинг уязвимостей API, к этому рейтингу мы прикрепим майндмапу, которая поможет в нахождении уязвимостей из данного рейтинга. Также ещё делимся небольшим документом с гайдом по тестированию API, он поможет расширить вашу методологию тестирования.
Приятного чтения!
#Pentest #API
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Whitehat Lab
Платформа с открытым исходным кодом для обмена, оценки, улучшения и управления правилами обнаружения (YARA, Sigma, Suricata и др.) с поддержкой API
Форматы:
Yara
Sigma
Zeek
Suricata
Crs
Nova
Elastic
Пример:
title: Encoded or Base64 Payload in HTTP POST to F5 Management API
id: f5-base64-upload-2025
description: Detects long base64 strings in HTTP POST body to management or shared endpoints.
author: abdulmyid@gmail.com
status: experimental
logsource:
product: webproxy
service: http
detection:
selection:
http.method: POST
url|contains:
- '/mgmt'
- '/shared'
http.request.body|contains_regexp: '[A-Za-z0-9+/]{200,}={0,2}'
condition: selection
level: medium
falsepositives:
- Legitimate encoded payloads (token exchanges, APIs).
#ti #rules #detection #soc #api
Please open Telegram to view this post
VIEW IN TELEGRAM