🥨Laboratorio: Explotación de un punto final de API mediante documentación

La Documentación de la API está accesible de forma publica →

Aqui puedo ver como muestra publicamente algunos metodos:

Significa que podemos eliminar al user carlos modificando una petición como delete en el endpoint DELETE: /user/carlos

Ahora bien es claro que para poder acceder a ese endpoint como estamos bajo el mapo de rutas url API REST, no podemos llegar a /user/carlos tenemos que partir de la base de la url osea /api/user/carlos, así Sí.

Ahora bien, aqui vemos un endpoint de GET el user wiener:

Vamos a modificarlo con burp pa’ poner delete y cambiar el username.

Métodos HTTP permitidos →

DELETE /api/user/carlos

PreviousAPI Testing NextLaboratorio: Cómo encontrar y explotar un punto final de API no utilizado

Last updated 1 year ago

hashtagLa Documentación de la API está accesible de forma publica →

hashtagMétodos HTTP permitidos →

La Documentación de la API está accesible de forma publica →

Métodos HTTP permitidos →