REST API Abuse — Mauvaises pratiques exploitables

API OWASP API

Qu'est-ce que le REST Abuse ?

Les APIs REST exposent souvent plus de fonctionnalités que prévu : endpoints non documentés, verbes HTTP non filtrés, versions d'API obsolètes encore actives. L'OWASP API Security Top 10 catalogue ces risques spécifiques aux APIs.

Techniques d'exploration

# Découvrir des endpoints cachés
ffuf -u https://api.target.com/FUZZ -w api_wordlist.txt

# Tester les versions antérieures d API
GET /api/v1/users/1    # peut avoir moins de protections que v2
GET /api/v2/users/1

# Tester tous les verbes HTTP
curl -X PATCH https://api.target.com/users/1
curl -X DELETE https://api.target.com/users/1

# Chercher la documentation exposée
/api/swagger.json
/api/v1/openapi.json

Défenses

Versionner et déprécier proprement les anciennes versions d'API · Désactiver les verbes HTTP non utilisés · Ne jamais exposer Swagger/OpenAPI en production sans authentification