Exploiting an API endpoint using documentation

Link: https://portswigger.net/web-security/api-testing/lab-exploiting-api-endpoint-using-documentation

Description:

To solve the lab, find the exposed API documentation and delete carlos. You can log in to your own account using the following credentials: wiener:peter.

Proof of concept:

  1. Lakukan analisa fitur-fitur yang ada pada web target dengan menggunakan akun testing

  2. Lakukan directory enumeration menggunakan tools. Sebagai contoh disini menggunakan tools Dirb

  3. Didapati directory API, akses direktori tersebut

  4. Pada halaman tersebut terdapat informasi mengenai API documentation. Salah satunya, terdapat informasi mengenai API untuk melakukan delete user. Maka dari itu coba untuk melakukan penghapusan user tersebut dengan langkah pertama adalah melakukan request apapun terlebih dahulu pada web target

  5. Ubah method HTTP menjadi DELETE dan ubah endpoint menjadi /api/user/carlos untuk menghapus user carlos agar dapat menyelesaikan tangtangan yang diberikan

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousAPI TestingNextExploiting a mass assignment vulnerability

Last updated