Entrada

API Testing Lab 1

Publicado Actualizado
Preview Image
Por Justice-Reaper
1 min de lectura
API Testing Lab 1

Skills

  • Exploiting an API endpoint using documentation

Certificaciones

  • eWPT
  • eWPTXv2
  • OSWE
  • BSCP

Descripción

Para resolver el laboratorio, debemos encontrar la documentación de la API expuesta y eliminar a carlos. Podemos iniciar sesión en nuestra propia cuenta utilizando las credenciales wiener:peter

Resolución

Al acceder a la web nos sale esto

Pulsamos sobre My account y nos logueamos utilizando las credenciales wiener:peter

Cuando iniciamos sesión nos redirigie a esta pantalla

Si observamos el código fuente vemos información sobre la API

Si accedemos al archivo changeEmail.js vemos la forma en la que funciona la función changeEmail

Si capturamos la petición con Burpsutie vemos que se está haciendo una petición usando el método PATH a la ruta /api/user/wiener y se está mandando un JSON con el nuevo email a asignar

Si accedemos a https://0a4500200413f2d8814de8c6000b0009.web-security-academy.net/api/ vemos lo siguiente

Borramos al usuario carlos y completamos el laboratorio

1
2

# curl -X DELETE -s --cookie 'session=1YpBJjR7v9gijaNKxo1pgEr1BH6DPKEU' https://0a4500200413f2d8814de8c6000b0009.web-security-academy.net/api/user/carlos
{"status":"User deleted"}
Portswigger, API Testing
API Testing Exploiting an API endpoint using documentation
Esta entrada está licenciada bajo CC BY 4.0 por el autor.