api-fuzzing-for-bug-bounty

Umiejętność do kompleksowego testowania bezpieczeństwa interfejsów API. Nauczysz się identyfikować podatności takie jak IDOR, obejścia autentykacji, iniekcje SQL i nieautoryzowany dostęp do danych. Obejmuje techniki rozpoznania API, testowanie uwierzytelniania, fuzzing parametrów i dokumentowanie luk znalezionych w REST, SOAP i GraphQL. Idealna dla pentesterów i uczestników programów bug bounty, którzy chcą systematycznie badać bezpieczeństwo API.

1. Przygotuj środowisko testowe: zainstaluj Burp Suite lub inny proxy HTTP, pobierz wordlisty API (np. SecLists), upewnij się że masz Python do pisania skryptów oraz dostęp do dokumentacji docelowego API.

2. Przeprowadź rozpoznanie API: zidentyfikuj typ API (REST, SOAP czy GraphQL) i wylicz dostępne endpointy. Szukaj publicznie dostępnej dokumentacji Swagger lub OpenAPI pod ścieżkami takimi jak /swagger.json, /openapi.json, /api-docs. Użyj narzędzi takich jak Kiterunner do automatycznego skanowania (kr scan https://target.com -w routes-large.kite).

3. Testuj uwierzytelnianie: spróbuj różnych ścieżek logowania (/api/mobile/login, /api/v3/login, /api/admin/login) i sprawdź czy istnieją limity szybkości na endpointach autentykacji. Testuj osobno API mobilne i webowe — mogą mieć różne kontrole bezpieczeństwa.

4. Szukaj podatności IDOR: zmień parametry identyfikacyjne w żądaniach (np. ID użytkownika, ID zasobu) i sprawdź czy możesz uzyskać dostęp do danych innych użytkowników bez odpowiednich uprawnień.

5. Fuzzuj parametry API: wysyłaj różne wartości do parametrów żądań aby znaleźć iniekcje SQL, błędy logiki biznesowej i nieoczekiwane zachowania. Dokumentuj każdą znalezioną podatność wraz z krokami reprodukcji.

6. Zbierz dowody: dla każdej luki przygotuj dokumentację zawierającą typ podatności, ścieżkę dostępu, metodę testowania i potencjalny wpływ na bezpieczeństwo.