#37 API Hacking mit der Burp Suite

Modulbeschreibung:

Application Programming Interfaces (APIs) sind fester Bestandteil vieler Netzwerkanwendungen und kommen insbesondere bei Web-Anwendungen sehr häufig zum Einsatz. In diesem Modul schauen wir uns die Arbeitsweise von APIs näher an und beleuchten Angriffsvektoren auf gängige Web-APIs. Dabei kommt erneut die Burp Suite zum Einsatz und in diesem Zusammenhang lernst du ein neues Modul der Burp Suite kennen, nämlich den Intruder. Er ermöglicht ein automatisiertes Testen von Parametern. Für dieses Modul greifen wir auf die Portswigger Web Security Academy zurück und lösen einige der dort angebotenen Hacking-Labs. Nach Abschluss dieses Moduls kennst du die Grundlagen der APIs und des API-Hackings und weißt, wie du mit Hilfe der Burp Suite Schwachstellen in APIs aufdecken und ausnutzen kannst.

Vorraussetzungen für dieses Modul:

Grundkurs „Hacking und Security“
Modul: 13 Burp Suite Basics
Modul: 21 Web-Hacking Grundlagen

Dozent: Eric Amberg

-Videolektion-

Klicke hier wenn du die Lektion, die Übungen und das Quiz abgeschlossen hast.
Sobald du alle Lektionen abgeschlossen hast, wird das Modul als abgeschlossenes „Achievement“ in deinen Lernfortschritten gekennzeichnet.

-HackLab-

Für diese Lektion wird kein HackLab benötigt.

-Quiz-

Fragen zu Lektion 1: API-Grundlagen

Beantworte die Fragen, um dein Wissen zu testen und zu vertiefen

1 / 3

Was gehört nicht zu CRUD? (Wähle 2)

UPDATE

DELETE

PATCH

POST

GET

HTTP

OPTIONS

CRUD steht für Create, Read, Update, Delete. Diese Funktionen werden durch HTTP-Methoden wie POST, PATCH oder PUT (Create), GET (Read), PATCH und UPDATE (Update) und DELETE (Delete) implementiert. HTTP ist das Übertragungsprotokoll und die Methode OPTIONS fragt die verfügbaren HTTP-Methoden ab.

2 / 3

Welche Reihenfolge der Entwicklung von APIs ist korrekt (von älter zu neuer)?

SOAP, RPC, GraphQL, REST

REST, GraphQL, RPC, SOAP

GraphQL, REST, SOAP, RPC

RPC, SOAP, REST, GraphQL

Die älteste API der hier genannten ist RCP (ca. 1976 erstmals in RFC 707 publiziert), danach folgt SOAP, später wurde REST entwickelt und daraus entstand GraphQL.

3 / 3

Welche der folgenden Aussagen ist korrekt?

APIs können nur mit HTTPS angesprochen werden, das Klartext-Protokoll HTTP wird nicht unterstützt.

Ein GET-Request übermittelt Daten an die Webanwendung, um einen Datensatz zu aktualisieren.

Eine Web-API unterstützt nur die HTTP-Methoden GET, POST und DELETE.

Für einen POST-Request sind Daten im HTTP-Body erforderlich, die Parameter enthalten.

GET-Requests werden verwendet, um Daten abzufragen, nicht zu aktualisieren. Für das Ändern der Daten können HTTP-Methoden wir POST, UPDATE oder PUT verwenden werden. Sie erfordern Daten im HTTP-Body, die entweder direkt als Parameter übergeben werden oder als strukturierte Daten im XML, JSON oder YAML-Format übertragen werden. Die Form der übermittelten Daten wird durch die API festgelegt. Web-APIs basieren auf HTTP, aber wie auch in der normalen Web-Kommunikation hat sich mittlerweile generell HTTPS durchgesetzt, also SSL/TLS-gesichertes HTTP. Welche Methoden eine API unterstützt, bestimmt der Entwickler selbst.

Your score is

-Videolektion-

-HackLab-

Für diese Lektion benötigst du ein System mit installierter Burp Suite (z.B. Kali Linux), einen Browser und eine Internet-Anbindung sowie einen Account bei der Portswigger Web Security Academy (https://portswigger.net/web-security).

-Quiz-

Fragen zu Lektion 2: Das Intruder-Modul der Burp Suite

Beantworte die Fragen, um dein Wissen zu testen und zu vertiefen

1 / 3

Welche der folgenden Aussagen über das Intruder-Modul der Burp Suite ist korrekt? Wähle die beste Antwort.

Der Intruder übernimmt Werte aus einer Liste, die er automatisch an allen Stellen einsetzt, die dynamische Werte enthalten.

Der Intruder ermöglicht das Durchtesten von Listen, deren Werte systematisch an bestimmten, vordefinierten Stellen des betreffenden Requests eingesetzt werden.

Der Intruder benötigt manuelle Eingaben, um bestimmte Werte in einem Request zu ändern und prüft die Antworten des Servers.

Der Intruder ist das Password-Cracking-Modul der Burp Suite und wird für Login-Seiten eingesetzt.

Der Intruder ermöglicht das Durchtesten von Listen, deren Werte systematisch an bestimmten, vordefinierten Stellen des betreffenden Requests eingesetzt werden. Dabei können die Stellen durch Variablen festgelegt werden und sind völlig frei wählbar. Zwar kann der Intruder auch für Login-Seiten verwendet werden, hat aber auch viele andere Einsatz-Szenarien. Er wird immer dann verwendet, wenn die manuelle Änderung von Werten zu aufwändig wäre, weil zu viele Werte geprüft werden sollen.

2 / 3

Die Länge der Response des Servers spielt bei der Auswertung von Rückmeldungen beim Intruder keine Wahr oder falsch?

Wahr

Falsch

Die Länge der Response ermöglicht in vielen Fällen Rückschlüsse auf eine andere Antwort, nach der wir ggf. suchen. Ist der Status-Code z.B. grundsätzlich bei allen Requests 200 OK, dann können wir oft über die Länge der Antwort den gesuchten Wert ermitteln. Sie ist dann bei allen falschen Parametern einheitlich und unterscheidet sich nur beim gesuchten Parameter.

3 / 3

Über welche der folgenden Methoden können Wertelisten für den Intruder erstellt werden? (Wähle 3)

Eigene Wertelisten können eingelesen werden

Die Werte werden aus einer der vom Intruder mitgelieferten Listen geladen

Die Werte können manuell eingegeben werden

Der Intruder ermittelt aus den Responses des Servers automatisch entsprechende Listen

Die Wertelisten ergeben sich aus den Requests und können von dort aus extrahiert werden

Damit der Intruder Wertelisten durcharbeiten kann, übergeben wir ihm entweder manuell oder über eine geladene Liste die entsprechenden Werte. Diese Liste kann zum einen aus den mitgelieferten Listen der Burp Suite Pro-Version ausgewählt werden. Zum anderen können wir eigene Listen importieren. Eine automatische Extraktion der Werte aus Requests oder Responses ist in der Standard-Funktionalität des Burp Intruders nicht vorgesehen und ergibt in der Regel auch keinen Sinn.

Your score is

-Videolektion-

-HackLab-

-Quiz-

Fragen zu Lektion 3: API Recon und Endpoints

Beantworte die Fragen, um dein Wissen zu testen und zu vertiefen

1 / 3

Welche der folgenden Tools sind geeignet für das Auffinden von API-Dokumentationen genutzt werden. (Wähle zwei)

gobuster

grep

Burp Suite Repeater

Wireshark

find

Sind API-Dokumentationen nicht direkt im Internet verfügbar, besteht eine Chance, dass sie in einem der API-Pfade versteckt sind. Um dies zu überprüfen, können wir den Burp Suite Repeater nutzen oder aber auch einen Webfuzzer wie gobuster. Wireshark, find oder grep sind Tools, die für diesen Zweck weniger gut geeignet sind.

2 / 3

Welche HTTP-Methode der im Folgenden genannten eignen sich zum Ändern von gespeicherten Daten in der Webanwendung? (Wähle vier)

HEAD

PATCH

OPTIONS

PUT

GET

POST

DELETE

Die HTTP-Methoden POST, PUT, PATCH und DELETE eignen sich zum Manipulieren von Daten. GET, OPTIONS und HEAD fragen dagegen Daten ab, ohne sie ändern zu wollen.

3 / 3

Welche Tools sind für speziell für die Analyse von bestimmten APIs konzipiert? (Wähle zwei)

John the Ripper

SoapUI

Postman

Wireshark

curl

Postman und SoapUI sind auf APIs spezialisierte Tools. Wireshark ist ein Netzwerksniffer, curl ein kommandozeilenbasiertes Tool zur Interaktion mit (Web-)Serverdiensten und John the Ripper dient zum Knacken von Passwörtern.

Your score is

-Videolektion-

-HackLab-

-Quiz-

Fragen zu Lektion 4: Hidden Parameters und Mass Assignment Vulnerabilities

Beantworte die Fragen, um dein Wissen zu testen und zu vertiefen

1 / 2

Welche Aussage beschreibt "Mass Assignment Vulnerabilities" am besten?

Versteckte Parameter können von der Client-Seite aus gesetzt werden, um bestimmte, automatisch zugewiesene Werte zu manipulieren

Die Webanwendung weist eigenständig Parameter zu, die von der Client-Seite entdeckt werden können

Werden zusätzliche Parameter durch die Webanwendung zugewiesen, kann der Angreifer durch Eingreifen in diesen Prozess die Parameter bei der Erstzuweisung manipulieren

Beim Zuweisen zahlreicher Parameter von der Client-Seite entstehen Verarbeitungsfehler auf der Server-Seite

2 / 2

Ein POST-Request enthält folgenden JSON Code:

{
"chosen_discount": {
"percentage":50
},
"chosen_products":[
{
"product_id":"23",
"name":"Hoody Hacker",
"quantity":1,
"item_price":129.00
}
]
"isAdmin":true
}

Welcher Parameter wurde hier aller Wahrscheinlichkeit nach manipuliert?

name

item_price

chosen_discount

quantity

isAdmin

product_id

Auch wenn theoretisch jeder einzelne Parameter manipuliert sein könnte, ist es am wahrscheinlichsten, wenn der Wert für "isAdmin" von false auf true gesetzt werden soll. Wird dieser Parameter verarbeitet, erhält der User Admin-Privilegien.

Your score is

-Videolektion-

-HackLab-

-Quiz-

Fragen zu Lektion 5: Server-Side Parameter Pollution

Beantworte die Fragen, um dein Wissen zu testen und zu vertiefen

1 / 3

Welche der folgenden Sonderzeichen bieten sich für eine Server-Side Parameter Pollution an? (Wähle zwei)

Für die Server-Side Parameter Solution werden insbesondere der Hash (#) und das Ampersand-Zeichen (&) verwendet. Ausrufezeichen (! bedeuten häufig eine Negation der Aussage, Das Paragraf-Zeichen (§) wird z.B. beim Burp Intruder zur Markierung einer Variablen verwendet und das Hochkomma (') kommt bei SQL-Injection zum Einsatz.

2 / 3

Warum hat der folgende GET-Request im Rahmen einer Server-Side Parameter Solution wenig Chancen auf Erfolg: GET /userSearch?name=eric#foo=abc&back=/home?

Es ist nicht möglich, weitere Parameter in einen GET-Request einzufügen

Das Hashzeichen muss codiert werden

Das Hashzeichen darf generell nicht verwendet werden

Statt dem Hash muss das Ampersand-Zeichen verwendet werden

Hier wird offensichtlich getestet, wie sich das System verhält, wenn wir versuchen, den Request hinter dem Usernamen abzuschneiden. Wird das Hashzeichen nicht codiert, wird es als Fragment Identifier identifiziert und nicht richtig ausgewertet.

3 / 3

In welcher Form können versteckte Parameter identifiziert werden? (Wähle drei)

Über Parameter-Listen, die mit dem Intruder geprüft werden

In JavaScript-Dateien, die zur Webseite geladen werden

Über Antworten in der Response des Servers

Über die Dokumentation

Mit der HTTP-Methode OPTIONS

Im GET-Request sind evtl. versteckte Parameter zu finden

Oftmals liefert die Antwort des Servers versteckte Parameter. Zudem haben wir eine Chance, versteckte Parameter in JavaScript-Dateien zu finden. Außerdem können wir mit Hilfe des Intruders nach möglichen versteckten Parametern suchen lassen. Die HTTP-Methode OPTIONS dagegen liefert nur die verfügbaren HTTP-Methoden. Ein GET-Request wird vom Client erzeugt und zeigt keine neuen Parameter an. Die Dokumentation könnte theoretisch ebenfalls als Hintergrund-Information versteckte Parameter benennen, aber meistens werden nur die Schnittstellen-Funktionen beschrieben.

Your score is

-Videolektion-

-HackLab-

Für diese Lektion benötigst du ein System mit installierter Burp Suite (z.B. Kali Linux)