- Katılım
- 2 Ocak 2026
- Mesajlar
- 20
- Tepkime puanı
- 46
- Puan
- 13
Keşif
· API dökümantasyonu,
· Developer sayfası,
· URL à /api, /v1 vs..
· XML veya JSON veri gönderip almayı sağlayan ve belirten request/response à Content-Type: application/json, application/xml
· Body’de {missing authorization token:…} gibi ifade,
· En önemli keşif yöntemi ise 3. Taraf API bağlantılı yazılımları kontrol etmektir à Github, Postman, Explore vs..
· Tarayıcıda hedef web uygulamasına git ve kullan. API istekleri gelip gitmeye başlayacaktır. Hedefle ilgili fikir edinmeye başladığında pasif ve aktif tarama ve test tekniklerine geçebilirsin.
· Taramalarda amaç hem adresleri bulmak hem de sızdırılmış credentials, web token, PII bulmak.
PASİF TARAMA
1-Google Dork ve Google API Console
API Console: Proje oluştur àCustom search JSON API aç, API key al. Custom search engine’den CX ID al.
curl “https://www.googleapis.com/customsearch/v1?key=API_KEY&cx=CX_ID&q=site:hedef.com+inurl:api”
hedef.com için /api geçen herşeyi verir. Daha önce indexlediği URL’leri verir. Normal Google aramasında bulamayacağın adresleri getirebilir.
Dork: intitle:json, api site:hedef.com
inurl:/api, /v1, internal, admin site:hedef.com
filetype:json, .env site:hedef.com
site:hedef.com “api_key”
2-GİTHUB
Github içerisindeki arama çubuğuna yazarak doğrudan kontrol yapılabilir:
· Target api, target api key(issues),
· api key exposed target,
· extension:json target,
· “authorization: Bearer” target,
· filename swagger.json target
Aslında buradaki amaç da istek/cevap, index süreçlerinde hassas sayılan kısımların aranmasıdır. Burası pasif bilgi toplamadır ve illa da bir şey çıkması beklenmez.
3-SHODAN
Pasif taramanın çoğunda olduğu gibi shodan’ın kendi arama çubuğu özelleştirilmiş şekilde sorgu atarak filtrelemeyle arama yapar:
· “content-type: application/json” site: target.com
· “wp-json” target à Bilgi sızıntısı için ideal wordpresslerde.
4-REDDİT
İnsanlar proje geliştirirken hata aldıklarında soru sormak için istemeden bu platforma log/endpoint/token bilgilerini atarlar. Bunları ayıklamak için kullanılabilir. Bunlar googledan kaçabilir çünkü Google dork index bazlı bir arama yapar.
Redditte sorgu yapabilmek için sadece API KEY yetmez, OAuth token lazım à client id, client secret, user-agent alman lazım, almak için reddit hesabı açıp redditte App oluşturman lazım. Ayrıca Access token da lazım.
Sonuçta subreddit bazlı tarama, comment dahil tarama, JSON response ve otomasyon imkanın olur. Subredditler aşağıda.
· r/netsec àgüvelik, gerçek log,
· r/bugbounty àdirekt hedeflerin konuşulduğu yer,
· r/devops à AWS, internal servisler,
· r/aws àIAM, API Gateway hataları à Bunlarda “example.com API 403” diye post açan çok.
· r/sysadmin à internal domain isimleri.
5-WAYBACK MACHINE
Her zaman kullandığımız, hedefin geçmişini araştırdığımız yer.
https://www.target.com/dev/api
AKTİF TARAMA
Aktif taramanın uygulamasına geçmeden önce bilmen/anlaman gereken yerler var. Mantık ve API yapısını anlamak kafanda bir çerçeve oluşturacak ve karşılaştığın her farklı teknolojiye ait API için bu çerçeveyi kullanabileceksin.
1. Her API 5 katmandan oluşur.
· 1.INPUT: Extra field kabul ediyor mu?
· 2.AUTH: Token gerçekten doğrulanıyor mu?
· 3.AUTHZ: Bu id bana mı ait?
· 4.LOGIC: Sıra/durum kontrolü var mı?
· 5.OUTPUT: Hata mesajında fazla bilgi dönüyor mu?
2. Sorular
· Bu API input’u nerede kontrol etmiyor?
· Yetki kontrolü nerede atlanmış?
· Bu endpointte 5 katmandan hangisi zayıf?
* Her teknoloji birşeyi kolay yapar/kolaylaştırır.
*** Framework neyi senin yerine yapıyorsa, geliştirici onu kontrol etmeyi unutmuştur.
àTeknoloji araştırması sonucu bulduğun teknolojinin hangi katmanı tembelleştirdiğini/kolaylaştırdığını bil.
· Go à input ve error
· Node àauth ve async
· Java à authz ve validation
· GraphQL à input ve authz
Unutma
· Front’da tedbir alınması önemli değil, backend’de kontrol yoksa buraya doğrudan istek atarak sömür.
· Var olan ama istekte gönderilmeyen alan varsa özellikle gönder.(Mass Ass.)
· API sessiz kalıyorsa hata değildir, açık olabilir, “istemiyorum” demiyorsa “alırım” diyor olabilir.
· Bussiness logic frontdaysa, saldırı backendden geçer. à Bu endpoint geliştiriciye neyi kolaylaştırıyor.
***API pentest ne çalışıyor değil, ne kontrol edilmiyor sorusudur.
