Hello there, ('ω')ノ 概要（ラボの目的と達成条件） このラボは、公開された API ドキュメントが攻撃者にどれほど危険かを学ぶ入門レベルの演習です。 目的は API ドキュメントの露出を悪用して、ユーザー carlos を削除すること です。 攻撃者としてログイ…

Hello there, ('ω')ノ なぜ成立する？（まず“絵”を持つ） アプリは、忘れたパスワード処理でサーバー側から内部APIにHTTPリクエストを発行しています。ここで username がそのまま URLパスの一部に使われていると、 ?（クエリ開始）や #（フラグメント開始）…

Hello there, ('ω')ノ ラボの目的 このラボでは、公開されているAPIドキュメントを見つけ、それを利用してユーザー "carlos" を削除します。 ログイン情報として、以下の資格情報が与えられています。 ユーザー名: wiener パスワード: peter 手順 Burpのブラ…

Hello there, ('ω')ノ APIドキュメントが公開されていない場合でも、APIを利用しているアプリケーションを調査することでアクセスできる可能性があります。以下の方法を活用して、隠れたAPIドキュメントを見つけましょう。 1. アプリケーションの解析 APIド…

Hello there, ('ω')ノ APIは通常、開発者がその使い方や統合方法を理解できるように文書化されています。このAPIドキュメントには、大きく分けて人間向けと機械向けの2種類があります。 1. 人間向けのAPIドキュメント これは開発者がAPIの使用方法を理解しや…

Hello there, ('ω')ノ APIテストを始める前に、APIに関するできるだけ多くの情報を収集し、その攻撃対象領域（アタックサーフェス）を明らかにすることが重要です。 1. APIエンドポイントの特定 APIのエンドポイントとは、APIが特定のリソースに関するリクエ…