API erişimlerinde yetki kısıtlaması var mı yok mu denenmesi gerekir. Bunun dışında bilinen API isimleriyle de korumasız şekilde erişilebilir olup olmadığına bakmak gerekiyor.
Hack Adımları
- Belli adlandırma kurallarını kabul eden tüm parametreleri tanımlayın (add,get,remove vs)
- Varsa kullanılabilir API arayüzlerini gönderen listeyelen bir metot arayın. Yoksa diğer çağrıları tahmin etmeye çalışın.
- Arama motoru vs araştırmasıyla bulunan bütün çağrı yöntemlerini farklı kullanıcı yetkileriyle erişmeye çalışın.
- Eğer gerekli parametreleri bilmiyorsanız daha az parametre alan getAllUsersInRoles. gibi metotlara erişmeye çalışın.
Bazı durumlarda statik dosyalara doğrudan erişim sağlanabilir bunların da tespit edilmesi gerekir.
Hack Adımları
- Normal bir şekilde tüm URL’leri gezip bulabildiğiniz tüm statik urlleri toplamaya çalışın.
- Daha az yetki sahibi bir kullanıcıyla bu kaynaklara erişmeye çalışın.
- Eğer erişim varsa bu kaynakların isimlendirmesindeki şablonları tespit etmeye çalışın ve bu şablonlarla diğer kaynaklara da erişmeye çalışın.
HTTP yöntemleri üzerine testler yapmak için :
Hack Adımları
- Yüksek ayrıcalıklı bir hesap kullanarak, yeni bir kullanıcı eklemek veya bir kullanıcının güvenlik rolünü değiştirmek gibi hassas eylemler gerçekleştiren bazı ayrıcalıklı istekleri belirleyin
- Eğer bir AntiCSRF koruması yoksa farklı HTTP metotları göndererek işlemin yapılıp yapılmadığını test edin.
- POST,GET,HEAD ve diğer metotları deneyin
- Uygulama diğer istek türlerine cevap veriyorsa düşük ayrıcalıklı kullanıcılarla tekrar deneyip cevap verip vermediğini test edin.