Немного про изучение структуры API Изучение структуры API | SHADOW:Group
Немного про изучение структуры API
Изучение структуры API часто позволяет понять логику работы приложения и найти интересные конечные точки для эксплуатации.
Один из способов узнать структуру в Swagger API это обратиться к api-docs. А если сервер отвечает кодом 403, то обязательно проверить его на возможные способы обхода 403. Про некоторые автоматизированные инструменты для этого я рассказывал на канале здесь, здесь, здесь и здесь.
Например в данном кейсе благодаря обходу 403 стала известна информация о структуре API и получен доступ к конечной точке с нарушением контроля доступа и утечкой приватной информации. Причём это не единичный подобный случай.
