Exploiting an API endpoint using documentation

Link: https://portswigger.net/web-security/api-testing/lab-exploiting-api-endpoint-using-documentation

Description:

To solve the lab, find the exposed API documentation and delete carlos. You can log in to your own account using the following credentials: wiener:peter.

Proof of concept:

Lakukan analisa fitur-fitur yang ada pada web target dengan menggunakan akun testing
Lakukan directory enumeration menggunakan tools. Sebagai contoh disini menggunakan tools Dirb
Didapati directory API, akses direktori tersebut
Pada halaman tersebut terdapat informasi mengenai API documentation. Salah satunya, terdapat informasi mengenai API untuk melakukan delete user. Maka dari itu coba untuk melakukan penghapusan user tersebut dengan langkah pertama adalah melakukan request apapun terlebih dahulu pada web target
Ubah method HTTP menjadi DELETE dan ubah endpoint menjadi /api/user/carlos untuk menghapus user carlos agar dapat menyelesaikan tangtangan yang diberikan

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousAPI Testing NextExploiting a mass assignment vulnerability

Last updated 1 year ago