Kapitel 5. API-Analyse
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Die Analyse von API-Endpunkten ist die nächste logische Fähigkeit in einem Aufklärungs-Toolkit nach der Entdeckung von Subdomains. Welche Domains werden von dieser Anwendung genutzt? Wenn diese Anwendung drei Domains hat(z. B.x.domain, y.domain und z.domain), sollte ich wissen, dass jede von ihnen ihre eigenen API-Endpunkte haben kann.
Im Allgemeinen können wir sehr ähnliche Techniken anwenden, wie wir sie bei der Suche nach Subdomains eingesetzt haben. Brute-Force-Angriffe und Angriffe mit Wörterbüchern funktionieren hier gut, aber auch manuelle Bemühungen und logische Analysen werden oft belohnt.
Die Suche nach APIs ist der zweite Schritt, um die Struktur einer Webanwendung zu verstehen, nachdem wir die Subdomains entdeckt haben. Dieser Schritt liefert uns die Informationen, die wir brauchen, um den Zweck einer offenen API zu verstehen. Wenn wir verstehen, warum eine API über das Netzwerk zugänglich ist, können wir herausfinden, wie sie in eine Anwendung passt und welchen Zweck sie hat.
Endpunkt Entdeckung
Unter haben wir bereits besprochen, dass die meisten Unternehmensanwendungen heute einem bestimmten Schema folgen, wenn sie die Struktur ihrer APIs definieren. In der Regel folgen die APIs entweder dem REST- oder dem SOAP-Format. REST wird immer beliebter und gilt heute als die ideale Struktur für moderne Webanwendungs-APIs. ...
Get Sicherheit von Webanwendungen now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
