Есть сервис, который, предположительно, крутится на nodejs и mongodb, сервер на убунте, несколько ендпоинтов с доступом по ключу, возможно есть ноды блокчейнов, с этим стеком что то даже примерно не могу сообразить, в какую сторону можно покапать?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Пентест АПИ сервиса
- Автор темы S-W-I-F-T
- Дата начала
Scope ограничен как-то именно этим сервисом?
Если нет, то я бы порекомендовал увеличить "площадь атаки" путём поиска поддоменов.
Если же scope жестко ограничен то можно пройтись сканером для начала, в том числе фаззером (ffuf, wfuzz) для поиска других недокументированных ендпоинтов да и просто статики (бэкапы, конфиги - иногда такооое валяется разрабами забытое что и ломать ничего не требуется бери и входи по царски), также в endpoint'ах могут быть недокументированные параметры (гуглить "param mining"), в JS да и не только в нём встречаются такие забавные штуки как mass assignment и prototype pollution, посмотреть какие ещё сервисы есть на хосте сканером портов, что тоже увеличивает площадь атаки, атака не обязательно на HTTP уровне может быть, может там ещё чего интересное есть, на уровне HTTP я бы порекомендовал зарегаться (guerilla mail в помощь) и получить таки "доступ по ключу", а как только ендпоинты начнут откликаться - попробовать инжектить malicious user input не только в параметры ендпоинтов но и в payload у HTTP headers включая куки или иную авторизацию. Это не я придумал, есть прекрасная подробная методичка по "тесту" вебки и даже attack matrix уже для APT, ну и APT разумеется уже не ограничивается вебкой ;-)
Если нет, то я бы порекомендовал увеличить "площадь атаки" путём поиска поддоменов.
Если же scope жестко ограничен то можно пройтись сканером для начала, в том числе фаззером (ffuf, wfuzz) для поиска других недокументированных ендпоинтов да и просто статики (бэкапы, конфиги - иногда такооое валяется разрабами забытое что и ломать ничего не требуется бери и входи по царски), также в endpoint'ах могут быть недокументированные параметры (гуглить "param mining"), в JS да и не только в нём встречаются такие забавные штуки как mass assignment и prototype pollution, посмотреть какие ещё сервисы есть на хосте сканером портов, что тоже увеличивает площадь атаки, атака не обязательно на HTTP уровне может быть, может там ещё чего интересное есть, на уровне HTTP я бы порекомендовал зарегаться (guerilla mail в помощь) и получить таки "доступ по ключу", а как только ендпоинты начнут откликаться - попробовать инжектить malicious user input не только в параметры ендпоинтов но и в payload у HTTP headers включая куки или иную авторизацию. Это не я придумал, есть прекрасная подробная методичка по "тесту" вебки и даже attack matrix уже для APT, ну и APT разумеется уже не ограничивается вебкой ;-)
Последнее редактирование:
А почему "предположительно" ? Есть же Wappalyzer для браузера и консольный whatweb ;-)
они для апи не применимы зачастую
Access Control и IDOR дефолт дырки в таких апи. Попробуй сначала поффазить чтобы доку найти, если не выйдет бруть параметры через x8 и директории через gobuster, еще не забудь конечно же перетыкать методы HTTP, или хотябы OPTIONS на каждом эндпоинте
for API depending on its structure meaning is it server to browser or server to server but nevertheless always try some XML injections or external entity since there is a connection in mongo as db go for nosql injections as @zdestuta said i totally agree increase your attack surface with scanners for endpoints try and search for different ports or different endpoints check for some endpoints that would lack authentication that you can access