REST API Abuse — Mauvaises pratiques exploitables
★★★★★
Qu'est-ce que le REST Abuse ?
Les APIs REST exposent souvent plus de fonctionnalités que prévu : endpoints non documentés, verbes HTTP non filtrés, versions d'API obsolètes encore actives. L'OWASP API Security Top 10 catalogue ces risques spécifiques aux APIs.
Techniques d'exploration
# Découvrir des endpoints cachés
ffuf -u https://api.target.com/FUZZ -w api_wordlist.txt
# Tester les versions antérieures d API
GET /api/v1/users/1 # peut avoir moins de protections que v2
GET /api/v2/users/1
# Tester tous les verbes HTTP
curl -X PATCH https://api.target.com/users/1
curl -X DELETE https://api.target.com/users/1
# Chercher la documentation exposée
/api/swagger.json
/api/v1/openapi.json Défenses
Versionner et déprécier proprement les anciennes versions d'API · Désactiver les verbes HTTP non utilisés · Ne jamais exposer Swagger/OpenAPI en production sans authentification