🥨Laboratorio: Explotación de un punto final de API mediante documentación

La Documentación de la API está accesible de forma publica →

• Aqui puedo ver como muestra publicamente algunos metodos:

Significa que podemos eliminar al user carlos modificando una petición como delete en el endpoint DELETE: /user/carlos

Ahora bien es claro que para poder acceder a ese endpoint como estamos bajo el mapo de rutas url API REST, no podemos llegar a /user/carlos tenemos que partir de la base de la url osea /api/user/carlos, así Sí.

Ahora bien, aqui vemos un endpoint de GET el user wiener:

• Vamos a modificarlo con burp pa’ poner delete y cambiar el username.

Métodos HTTP permitidos →

Ahi mismo el options nos arroja que solo acepta: get, delete y patch.

• DELETE /api/user/carlos