Day #28 of #100DaysOfCyber | Identifier et manipuler les Endpoints d'une API
Après avoir automatisé la collecte de requêtes avec Postman, l'étape suivante consiste à analyser et interagir avec les endpoints pour comprendre la logique du backend et trouver des failles.
➖ 1. Identifier la structure des Endpoints
Même sans doc, la majorité des APIs suivent des structures standardisées (REST). On cherche d'abord à repérer trois indicateurs :
⚪ Le Versioning : Repérer les routes comme /api/v1/ ou /api/v2/. Parfois, une ancienne version (v1) moins sécurisée est toujours active sur le serveur.
⚪ La nomenclature : Comprendre comment sont désignées les ressources (ex: /users, /vehicles, /products).
Les Identifiants : Repérer où et comment sont passés les IDs (dans l'URL ou directement dans le body JSON).
➖ 2. Manipuler les requêtes pour tester le backend
Une fois la structure comprise, on modifie systématiquement les composants de la requête pour analyser la réaction du serveur :
⚪ Changer les méthodes HTTP : Si une route fonctionne en GET /api/profile, on teste l'envoi d'un POST, PUT ou DELETE pour voir si le backend bloque correctement les actions non autorisées.
⚪ Modifier le Content-Type : Si l'API attend du JSON (application/json), on tente de lui envoyer du XML ou des données de formulaire. Changer le format peut contourner certains filtres ou provoquer des erreurs.
⚪ Fuzzer les paramètres : Modifier le type de données (envoyer du texte à la place d'un ID numérique) ou ajouter des clés JSON inattendues pour forcer le serveur à renvoyer des messages d'erreur verbeux.
L'objectif est d'observer comment le backend réagit dès qu'on sort du comportement attendu par l'interface graphique.
On continue sur les prochains labs
#Un dev qui comprend la sécurité.
#Un pentester qui comprend le code.
@_makh0u
#Cybersecurity #WebSecurity #APISecurity #PortSwigger #Endpoints #RestAPI #Backend #FullStack
4
Security starts with controlling access.
#MERNStack #NodeJS #ExpressJS #MongoDB #BackendDevelopment #WebDevelopment #JavaScript #RESTAPI #SoftwareEngineering #APIDevelopment
1
来週やらなきゃいけなかったRESTAPIをおもいだした。感謝!
15h
エンジニアが理解しておきたいデータ連携方式5選
・REST API
→ 現在の主流。
・SOAP
→ XMLベースの連携方式。
・ファイル連携
→ CSVなどでデータ受け渡し。
・メッセージキュー
→ 非同期で連携する。
・Webhook
→ イベント発生時に通知する。
👉 システム間連携の基本知識。
29
RestAPI any day any time.
Better to run stay away from a problem so as not to create many problems birthing complex problems.
10
Abramos_Rotex retweeted
Jun 13
Hi Techies,
Which is your first choice, RestAPI or GraphQL?
Or you don’t know what GraphQL is?
88
9
103
23,991
👨💻 BUILT FOR DEVELOPERS. BUILT FOR INNOVATION.
Great trading applications start with great infrastructure.
The Accelpix Developer Ecosystem is designed to help developers, fintech startups, trading platforms and enterprises build powerful market-driven applications faster.
🚀 Powerful APIs
Access real-time and historical market data, indicators, Greeks, charts and analytics through robust APIs.
⚡ Easy Integration
Well-documented APIs with simple endpoints, SDK support and quick onboarding.
📈 High Performance Infrastructure
Low-latency architecture designed for speed, scalability and reliability.
🛡 Secure & Reliable
Enterprise-grade infrastructure backed by 99.99% SLA uptime.
📚 Developer-Friendly Resources
Comprehensive documentation, code examples and integration support.
🌎 Scalable for Every Business
From individual developers to large enterprises, build with confidence and scale without limits.
Supported Technologies:
🐍 Python
⚙️ .NET
🟨 JavaScript
☕ Java
🌐 REST APIs
🔗 WebSocket APIs
Perfect For:
📊 Trading Platforms
🤖 Algo Trading Applications
📈 Market Analytics Tools
💼 Fintech Products
📱 Mobile Trading Apps
🌐 Web-Based Trading Solutions
Your Ideas. Our Technology. Endless Possibilities.
🚀 Start Building with Accelpix Today.
🌐 zurl.co/hgrHJ
📩 support@accelpix.com
#Accelpix #DeveloperEcosystem #FintechDevelopment #MarketDataAPI #PythonDeveloper #DotNetDeveloper #JavaScript #AlgoTrading#RESTAPI #BuildWithAccelpix @Mirracharts
26
Jun 13
VBAはofficeアプリに何かする αだからなぁ。
αだと、SQLは普通に、RESTApiも日常、ボトルネック処理をC でDLLにしてコールするくらいまでは過去やったなぁ。
Jun 13
「VBAができたらプログラミングはできたと言えるのか」に対して動画に来ていたコメントをまとめてみました。
いちばん刺さったのは、多くの👍を集めたこのひと言でした。
「C言語経験ありといって来たのが学生レベルにも満たない人材だったのに比べれば、VBAで目的を解決してきた人のほうが全然有望」
言語名の格じゃなく、実際に何かを動かしてきたかどうか。
そこを見ろ、という話ですよね。
全体の温度感は「VBAだってプログラミングでしょ」という擁護が多数派でした。
「Pythonやってるやつでもプログラミングできるって言ってんだし、VBAでもプログラミングできるって言っていいよ」
という声があれば、VBAはOfficeアプリケーションの知識がないとまともに書けないから、むしろ固有の難しさがある、という視点も多くの👍を集めていました。
DLL呼び出しでWindowsで作れるものは何でも作れる、AthenaにODBC経由でクエリを投げるマクロを書いた、という具体的な実績コメントもあり、「VBAは簡単なもの」という先入観が静かに崩されていく流れがありました🔥
ここで意見が分かれたのが「VBAで儲かるか」という論点です。
「儲からないから他の言語を覚えたほうがいい」という現実的な声に対し、「言語は道具。何をしたいかが先にある」という返信が飛びました。
個人的には「プログラミング言語が書けたら、プログラミングができたとは言わない。仕事で望まれる成果物をプログラムで作って初めてプログラミングができたと言える」というコメントが一番残りました。
70
Tosin Olugbenga retweeted
SOAP and RestAPI.
SOAP as Request Body.
RestAPI and SOAP as Response.
Jun 13
Hi Techies,
Which is your first choice, RestAPI or GraphQL?
Or you don’t know what GraphQL is?
1
610
Jun 13
RestAPI. If I'm building APIs.
What do graphs have to do with my work?
302
Jun 13
"How Long Does It Take to Learn Popular Programming Skills? — Complete Roadmap & Timeline Guide"
#Programming #Coding #SoftwareDevelopment #WebDevelopment #TechSkills #TechEducation #LearningTimeline #BackendDevelopment #RESTAPI #GraphQL #MobileAppDevelopment #CloudComputing
13
codezoom_web retweeted
Jun 13
Hello Techies,
Which is your first choice, RestAPI or GraphQL?
Or you don’t know what GraphQL is?
2
1
5
170