🎚️ Совет по тестированию API

У большинства API есть конечная точка для создания, удаления, обновления и чтения объекта или группы объектов.

Если вы видите:

DELETE /api/item/32 (удаление)

То попробуйте:

POST /api/item (создание)
GET /api/item/33 (чтение)
PUT /api/item/33 (обновление)

Затем протестируйте каждый из них на IDOR, поочередно проверяя аутентификацию и уровни доступа к различным объектам. Методологическое тестирование - лучший способ взломать API.

Иногда тестирование API усложняется тем, что мы можем не знать нужные для запроса поля или параметры. Однако есть способы найти их, например: если вы знаете поля для GET, вы так же можете отправить и PUT, изменив некоторые значения.

Кроме того, есть инструменты, такие как Arjun, которые могут находить параметры, а иногда и сами API просто возвращают сообщения об ошибках, когда какой-то из параметров отсутствует.

#Web #API #IDOR

😈 Тестирование безопасности API: кейсы, инструменты и рекомендации

При анализе защищенности API приложений почти всегда находят кучу уязвимостей.

На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.

#video #API

📟 Материалы по пентесту API

Небольшая подборка полезных ресурсов и чеклистов по пентесту API:

▫️ OWASP API Security Top 10 (на русском)
▫️ HolyTips
▫️ API-Audit-Checklist
▫️ 31-days-of-API-Security-Tips
▫️ API Security Checklist
▫️ OAuth 2.0 Threat Model Pentesting Checklist
▫️ JWT Security Cheat Sheet
▫️ Microservices Security Cheat Sheet
▫️ GraphQL Cheat Sheet
▫️ REST Assessment Cheat Sheet
▫️ REST Security Cheat Sheet
▫️ API Security Encyclopedia

#Web #API | 💀 Этичный хакер

📟 Подборка материалов по пентесту API

Небольшая подборка полезных ресурсов и чеклистов по пентесту API:

💬 OWASP API Security Top 10 (на русском)
💬 HolyTips
💬 API-Audit-Checklist
💬 31-days-of-API-Security-Tips
💬 API Security Checklist
💬 OAuth 2.0 Threat Model Pentesting Checklist
💬 JWT Security Cheat Sheet
💬 Microservices Security Cheat Sheet
💬 GraphQL Cheat Sheet
💬 REST Assessment Cheat Sheet
💬 REST Security Cheat Sheet
💬 API Security Encyclopedia

#Web #API #OWASP | 💀 Этичный хакер

🔎 Расширение BurpSuite для аудита API

APIKit - расширение с открытым исходном кодом, представляющее собой набор инструментов для обнаружения, сканирования и аудита API. Имеет активный и пассивный режим.

💬 Ссылка на GitHub

#Web #API #BurpSuite | 💀 Этичный хакер

😈 Тестирование безопасности API: кейсы, инструменты и рекомендации

При анализе защищенности API приложений почти всегда находят кучу уязвимостей.

На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.

#video #API | 💀 Этичный хакер

🧑‍🎓 Навигация по каналу

#SQL
#CTF
#Linux
#Windows
#WiFi
#WPS
#WPA
#Dorks
#OSINT
#BurpSuite
#BugBounty
#API
#OWASP
#Injection
#Web
#Recon
#Encryption
#Vulnerability
#XSS
#CSRF
#HTTP
#WAF
#Tools
#Forensics
#MITM
#SocialEngineering (#SE)
#ReversEngeniring (#RE)
#News
#OpenSource

💬 Пошаговое руководство, как стать экспертом по кибербезопасности (на английском)

📶 База, основные понятия:
• Сетевая разведка (OSINT)
• Курс по SQL для начинающих
• EXIF - данные, метаданные
• Защита API - что необходимо знать?
• TCP: что за протокол такой?
• DNS атака: как это работает
• Модели OSI - сетевые протоколы
• 4 главных навыка специалиста по информационной безопасности
• Что о вас знает интернет-провайдер?
• Топ 5 правил безопасности в интернете
• Burp Suite: вникаем в аудит безопасности
• Базовые инструменты для тестирования в Kali Linux

🔎 OSINT:
• OSINT: руководство для самых маленьких
• Подборка дорков для более чем 10 известных сервисов
• Поиск в сети с помощью Maltego
• Offensive OSINT Tools
• Мануал по Maltego. Сбор информации
• Shodan и Censys: поиск скрытых деталей в Интернете
• Cканирование сайта с помощью Google дорков
• Mitaka - расширение браузера для OSINT
• CSI Linux. Убийца в мире пробива
• Blackbird - инструмент OSINT для поиска учетных записей
• EmailHarvester - инструмент для получения адресов электронной почты
• OSINT фреймворк для Github
• 20 практических приемов OSINT c применением новых возможностей цифрового мира
• Maltego: исследование веб-сайтов, хостинга и почт
• Поиск в сети с помощью Maltego
• Maltego: сканирование уязвимостей
• Maltego: исследование серверов, доменов и файлов
• Доксинг. Защити свои данные от деанона.
• DarkSide: сбор информации и соц. инженерия

😁 Kali Linux:
• Kali Linux: Базовый инструментарий для пентеста
• Как взломать WPA / WPA2 WiFi с помощью Kali Linux?
• Инструменты для хакинга на Kali Linux
• Установка Kali Linux в VirtualBox

👁 Социальная инженерия:
• Основные приемы манипуляции в дискуссии
• 10 человеческих слабостей, которые помогут управлять людьми
• Исключительные методы взлома
• Аудит с использованием соц. инженерии

🔵 Пентест:
• Kerberos: руководство для пентестеров
• Red Rabbit - Пентест и постэксплуатация
• Пентест сайта. 12 шагов.
• Подборка лабораторий для практики веб-пентеста
• Пентест Apache log4j
• Пентест сети IPv6
• Пентест: Wi-Fi с WPA паролем
• Rekono - автоматический пентест
• SQLmap: пентест БД
• Материалы по пентесту API
• Инструменты для хакинга на Kali Linux
• Подборка браузерных расширений для Bug Bounty и пентеста
• fsociety – платформа для тестирования на проникновение

💳 OWASP Top 10:
• OWASP Top 10: A1 SQL - инъекции
• OWASP Top 10: A2 Сломанная аутентификация и управление сеансами
• OWASP Top 10: A3 Раскрытие конфиденциальных данных
• OWASP Top 10: A4 XXE Атака внешнего объекта XML
• OWASP Top 10: A5 Нарушенный контроль доступа
• OWASP Top 10: A6 Неправильная конфигурация безопасности
• OWASP Top 10: A7 Межсайтовый скриптинг (XSS)
• OWASP Top 10: A8 Небезопасная десериализация
• OWASP Top 10: A9 Использование компонентов с известными уязвимостями
• OWASP Top 10: A10 Недостаточное ведение журнала и мониторинг
• Подделка межсайтовых запросов (CSRF) – уязвимость OWASP
• OWASP. Методология тестирования безопасности веб-приложений
• Небольшая подборка плагинов для OWASP ZAP

🥷 Анонимность:
• Форензика: идентификация поддельных изображений
• Создание левой личности
• Как удалить свой номер из GetContact
• Как удалить персональные данные из ботов пробива
• Реализация двойного дна на IOS и Android
• Комплексная проверка анонимности
• Конфиденциальность в криптовалютах
• Настройки безопасности: Отключаем слежку в Windows
• Как удалить персональные данные из ботов пробива
• Находим все аккаунты, связанные с вашей почтой
• Что Google знает о вас
• Одни из самых анонимных OC

Помимо всего прочего, в канале бесплатно публикуем различную литературу и руководства — #books

😈 Анализ доменов через Reverse Whois Lookup

Утилита для сбора доменов через reverse WHOIS lookup с использованием whoisxml API.

Всё что вам необходимо это указывать имя организации который в SSL сертификате и получаем домены компании.

🗣 ​​Ссылка на GitHub

#OSINT #Web #API #Tools

😈 3 способа использования CVE для пентеста API

В этой статье я собираюсь показать вам три способа использования распространенных шаблонов атак, чтобы улучшить навыки атаки и подойти к тестированию безопасности API с учетом мышления злоумышленника.

Это основано на посте, который я уже публиковал, контрольный список тестирования безопасности API с использованием распространенных шаблонов атак.

🗣 Ссылка на чтиво

#CVE #API | 💀 Этичный хакер

💬 Руководство: Cyber Security Expert + API Security Best Practices

Пошаговое руководство, как стать экспертом по кибербезопасности в 2023 году:

💬 Ссылка на Roadmap

Подробный список лучших практик для обеспечения
безопасности ваших API:

💬 Ссылка на Roadmap

#Cybersecurity #infosec #API

😈 Тестирование безопасности API: кейсы, инструменты и рекомендации

— При анализе защищенности API приложений почти всегда находят кучу уязвимостей.

На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.

#Web #API | 💀 Этичный хакер

👩‍💻 Защита API - что необходимо знать?

API - это контракт, который предоставляет программа. «Ко мне можно обращаться так и так, я обязуюсь делать то и это».

В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого программиста.

🗣 Ссылка на чтиво

#Web #API | 💀 Этичный хакер

😈 API: гайд для самых маленьких

API - это интерфейс, позволяющий двум независимым компонентам программного обеспечения обмениваться информацией. API играет роль посредника между внутренними и внешними программными функциями, обеспечивая эффективный обмен информацией.

— В этом всеобъемлющем руководстве простыми словами будут объяснены API, их важность и то, как они работают.

🗣 Ссылка на чтиво

#Web #API | 💀 Этичный хакер

👩‍💻 Защита API - что необходимо знать?

API - это контракт, который предоставляет программа. «Ко мне можно обращаться так и так, я обязуюсь делать то и это».

В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого программиста.

🗣 Ссылка на чтиво

#Web #API | 💀 Этичный хакер

😈 Kubeshark — мониторинг и анализ Kubernetes

— А вы когда-нибудь задумывались, куда идет трафик API в Kubernetes?

В этой статье вы узнаете, как можно использовать Kubeshark, как средство просмотра трафика API для Kubernetes, обеспечивающее видимость внутренней сети Kubernetes на уровне протокола в режиме реального времени, захватывая, анализируя и отслеживая весь входящий и исходящий трафик и полезную нагрузку между контейнерами, модулями, узлами и кластерами.

⏺ Ссылка на чтиво

❗ Также прикрепляю другие полезные материалы по теме #WireShark:
- Wireshark: руководство для начинающих
- Wireshark - учимся сканировать сеть
- Анализ TCP с использованием Wireshark

#Wireshark #API #Kubernetes #Recon | 🧑‍💻 Этичный хакер

😈 API Security Academy: сборник заданий GraphQL

По ссылке ниже можно найти бесплатную коллекцию заданий, которые научат Вас атаковать и защищать приложения, использующие GraphQL. Это подробные уроки, из которых Вы узнаете о различных уязвимостях и передовых методах обеспечения защиты.

Список уроков по GraphQL:
1. Prevent Mutation Brute-Force Attacks;
2. Implement Object-Level Authorization;
3. Disable Debug Mode for Production;
4. Combat SQL Injections;
5. Limit Query Complexity;
6. Implement Field-Level Authorization;
7. Configure HTTP Headers for User Protection;
8. Validate JSON Inputs;
9. Implement Resolver-Level Authorization.

#API #GraphQL #Recon | 🧑‍💻 Этичный хакер

😈 Trello: e-mail адреса 15 млн. пользователей опубликованы на BreachForums

Хакер «‎emo» обнародовал более 15 млн адресов электронной почты, связанных с учетными записями Trello. Известно, что эти адреса были собраны в январе текущего года через плохо защищенный API.

— Хотя почти все данные, представленные в этом дампе, были общедоступными, это не касалось адресов электронной почты, связанных с профилями пользователей. Было выяснено, что хакер использовал открытый API Trello для связывания почтовых адресов с профилями людей.

«У Trello был открытый API-эндпоинт, который позволял любому неаутентифицированному пользователю связать адрес электронной почты с аккаунтом Trello, — пишет emo. — Изначально я собирался отправлять эндпоинту только письма из баз данных com (OGU, RF, Breached и так далее), но потом решил продолжать [проверять] email'ы, пока не надоест».

❗️ Информация из этого дампа может использоваться для проведения целевых фишинговых атаках, а сам emo пишет, что данные также могут пригодиться для доксинга, так как позволяют связать email-адреса с конкретными людьми и их никами.

#News #Trello #Leaks #API | 🧑‍💻 Этичный хакер

😈 Как взломать миллионы модемов: история одного расследования

Два года назад во время работы в домашней сети со мной произошло нечто очень странное. Я эксплуатировал слепую уязвимость XXE, которая требовала внешнего HTTP-сервера для переправки файлов, поэтому я развернул простой веб-сервер Python на платформе AWS для получения трафика от уязвимого сервера...

— Под катом история, направленная на то, чтобы подчеркнуть уязвимости на уровне доверия между интернет‑провайдером и клиентскими устройствами, но модем мог быть скомпрометирован каким‑то другим, гораздо более скучным методом.

🗣 Ссылка на чтиво

#TI #HTTP #API | 🧑‍💻 Этичный хакер

😈 Хакер-одиночка раскрыл тысячи секретов крупнейших компаний мира

19-летний Билл Демиркапи, независимый исследователь и белый хакер, разработал метод, позволяющий выявлять масштабные уязвимости в интернете с помощью нестандартных источников данных.

Результаты работы были представлены на конференции Defcon в Лас-Вегасе. Среди как минимум 15 000 найденных секретов (под «секретами» понимаются конфиденциальные данные, такие как пароли, ключи API, токены аутентификации) оказались сотни учетных записей, связанных с Верховным судом Небраски и его IT-системами, а также данные доступа к каналам Slack Стэнфордского университета.

❗️ Особое внимание привлекли более тысячи ключей API, принадлежащих клиентам OpenAI.

Второе направление исследований касалось уязвимостей веб-сайтов. Хакер обнаружил 66 000 сайтов с уязвимостями в неиспользуемых («висячих») поддоменах. Среди затронутых оказались некоторые из крупнейших веб-ресурсов мира, в том числе тестовый домен, принадлежащий The New York Times.

😂 Демиркапи провел эксперимент, он опубликовал на тестовом домене The New York Times сатирическую статью с провокационным заголовком «США объявляют войну России на фоне эскалации напряженности, посылая шоковые волны через международное сообщество».

#News #Defcon #Leaks #API | 🧑‍💻 Этичный хакер