У большинства API есть конечная точка для создания, удаления, обновления и чтения объекта или группы объектов.
Если вы видите:
DELETE /api/item/32 (удаление)
То попробуйте:POST /api/item (создание)
GET /api/item/33 (чтение)
PUT /api/item/33 (обновление)
Затем протестируйте каждый из них на IDOR, поочередно проверяя аутентификацию и уровни доступа к различным объектам. Методологическое тестирование - лучший способ взломать API.Иногда тестирование API усложняется тем, что мы можем не знать нужные для запроса поля или параметры. Однако есть способы найти их, например: если вы знаете поля для GET, вы так же можете отправить и PUT, изменив некоторые значения.
Кроме того, есть инструменты, такие как Arjun, которые могут находить параметры, а иногда и сами API просто возвращают сообщения об ошибках, когда какой-то из параметров отсутствует.
#Web #API #IDOR
Please open Telegram to view this post
VIEW IN TELEGRAM
👍52
Media is too big
VIEW IN TELEGRAM
При анализе защищенности API приложений почти всегда находят кучу уязвимостей.
На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.
#video #API
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26👎3🔥2👏1
📟 Материалы по пентесту API
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
▫️ OWASP API Security Top 10 (на русском)
▫️ HolyTips
▫️ API-Audit-Checklist
▫️ 31-days-of-API-Security-Tips
▫️ API Security Checklist
▫️ OAuth 2.0 Threat Model Pentesting Checklist
▫️ JWT Security Cheat Sheet
▫️ Microservices Security Cheat Sheet
▫️ GraphQL Cheat Sheet
▫️ REST Assessment Cheat Sheet
▫️ REST Security Cheat Sheet
▫️ API Security Encyclopedia
#Web #API |💀 Этичный хакер
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
▫️ OWASP API Security Top 10 (на русском)
▫️ HolyTips
▫️ API-Audit-Checklist
▫️ 31-days-of-API-Security-Tips
▫️ API Security Checklist
▫️ OAuth 2.0 Threat Model Pentesting Checklist
▫️ JWT Security Cheat Sheet
▫️ Microservices Security Cheat Sheet
▫️ GraphQL Cheat Sheet
▫️ REST Assessment Cheat Sheet
▫️ REST Security Cheat Sheet
▫️ API Security Encyclopedia
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26🔥5❤3
👾 Ключ API, ключ к утечке и манипулированию учетными данными
В этой статье рассмотрим, что такое ключ API, каким образом его можно использовать в поиске учетных данных.
➖ https://telegra.ph/Klyuch-API-klyuch-k-utechke-i-manipulirovaniyu-uchetnymi-dannymi-11-04
#guide #API | 💀 Этичный хакер
В этой статье рассмотрим, что такое ключ API, каким образом его можно использовать в поиске учетных данных.
➖ https://telegra.ph/Klyuch-API-klyuch-k-utechke-i-manipulirovaniyu-uchetnymi-dannymi-11-04
#guide #API | 💀 Этичный хакер
👍20🔥2😡2🤔1
📟 Подборка материалов по пентесту API
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
💬 OWASP API Security Top 10 (на русском)
💬 HolyTips
💬 API-Audit-Checklist
💬 31-days-of-API-Security-Tips
💬 API Security Checklist
💬 OAuth 2.0 Threat Model Pentesting Checklist
💬 JWT Security Cheat Sheet
💬 Microservices Security Cheat Sheet
💬 GraphQL Cheat Sheet
💬 REST Assessment Cheat Sheet
💬 REST Security Cheat Sheet
💬 API Security Encyclopedia
#Web #API #OWASP |💀 Этичный хакер
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
#Web #API #OWASP |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍29☃1🤬1
APIKit - расширение с открытым исходном кодом, представляющее собой набор инструментов для обнаружения, сканирования и аудита API. Имеет активный и пассивный режим.
#Web #API #BurpSuite |
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍6🤯1
Media is too big
VIEW IN TELEGRAM
При анализе защищенности API приложений почти всегда находят кучу уязвимостей.
На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.
#video #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍27🔥5❤3👎2🤔1