🗳 Совет по тестированию API
У большинства API есть конечная точка для создания, удаления, обновления и чтения объекта или группы объектов.
Если вы видите:
То попробуйте:
Затем протестируйте каждый из них на IDOR, поочередно проверяя аутентификацию и уровни доступа к различным объектам. Методологическое тестирование - лучший способ взломать API.
Иногда тестирование API усложняется тем, что мы можем не знать нужные для запроса поля или параметры. Однако есть способы найти их, например: если вы знаете поля для GET, вы так же можете отправить и PUT, изменив некоторые значения.
Кроме того, есть инструменты, такие как Arjun, которые могут находить параметры, а иногда и сами API просто возвращают сообщения об ошибках, когда какой-то из параметров отсутствует.
#web #api #idor
У большинства API есть конечная точка для создания, удаления, обновления и чтения объекта или группы объектов.
Если вы видите:
DELETE /api/item/32 (удаление)То попробуйте:
POST /api/item (создание)
GET /api/item/33 (чтение)
PUT /api/item/33 (обновление)Затем протестируйте каждый из них на IDOR, поочередно проверяя аутентификацию и уровни доступа к различным объектам. Методологическое тестирование - лучший способ взломать API.
Иногда тестирование API усложняется тем, что мы можем не знать нужные для запроса поля или параметры. Однако есть способы найти их, например: если вы знаете поля для GET, вы так же можете отправить и PUT, изменив некоторые значения.
Кроме того, есть инструменты, такие как Arjun, которые могут находить параметры, а иногда и сами API просто возвращают сообщения об ошибках, когда какой-то из параметров отсутствует.
#web #api #idor