15API Labs

靶机地址：https://portswigger.net/web-security/all-labs#api-testing

## 找到公开的 API 文档并删除carlos

登录帐户：wiener:peter

1、登录网站后，发现是一个购物网站，但是只有商品的详细信息。

![image-20250817121333025](https://oss.maolin101.com/image-20250817121333025.png-101.webp)

2、在个人信息中，可以进行更新邮箱，更新以下试一试。

![image-20250817121535716](https://oss.maolin101.com/image-20250817121535716.png-101.webp)

3、更新成功之后，在burp中的http history中看看，找到了api接口更新的邮箱号。

![image-20250817121648276](https://oss.maolin101.com/image-20250817121648276.png-101.webp)

4、发送到repeater模块中，PATCH 请求方法为**对已有资源进行局部更新**。尝试看看api接口，可以依次删除url链接的api路径。

![image-20250817121842567](https://oss.maolin101.com/image-20250817121842567.png-101.webp)

![image-20250817121851203](https://oss.maolin101.com/image-20250817121851203.png-101.webp)

![image-20250817121937986](https://oss.maolin101.com/image-20250817121937986.png-101.webp)

发生了跳转，那么就将响应的链接，在浏览器中打开。

5、选中数据包，右键，选择在浏览器中打开响应的链接。

![image-20250817122138040](https://oss.maolin101.com/image-20250817122138040.png-101.webp)

貌似跳转到了api 文档中。

![image-20250817122219955](https://oss.maolin101.com/image-20250817122219955.png-101.webp)

6、可以直接操作数据，那么就删除指定的用户。

![image-20250817122317771](https://oss.maolin101.com/image-20250817122317771.png-101.webp)

## 查找并利用未使用的 API 端点

任务：利用隐藏的 API 端点购买一件**轻量级 l33t 皮夹克**。

登录帐户：wiener:peter

1、观察目标网站，是一个购物网站，所需购买的皮夹克是$1337.00，而我们的金额是$0.00。所以得通过非正常途径购买。

2、查看皮夹克详情，观察购物网站是通过productId参数值不同，显示不同得价格。

![image-20250817123107828](https://oss.maolin101.com/image-20250817123107828.png-101.webp)

3、是否可以修改商品价格，在burp中找到对应得数据包。

![image-20250817123224644](https://oss.maolin101.com/image-20250817123224644.png-101.webp)

4、发送到repeater模块中，当前是get，能否修改为其他请求方式呢？使用OPTIONS

![image-20250817123313330](https://oss.maolin101.com/image-20250817123313330.png-101.webp)

5、使用PATCH，重新请求。

![image-20250817123424379](https://oss.maolin101.com/image-20250817123424379.png-101.webp)

仅支持“application/json”内容类型

6、修改请求类型。

![image-20250817123618412](https://oss.maolin101.com/image-20250817123618412.png-101.webp)

7、添加price参数。

![image-20250817123649345](https://oss.maolin101.com/image-20250817123649345.png-101.webp)

返回得价格变为0元。

8.返回页面查看皮夹克得价格修改了吗？
![image-20250817123720420](https://oss.maolin101.com/image-20250817123720420.png-101.webp)

9、直接购买。

![image-20250817123736566](https://oss.maolin101.com/image-20250817123736566.png-101.webp)

## 利用大规模分配漏洞

批量分配（也称为自动绑定）可能会无意中创建隐藏参数。当软件框架自动将请求参数绑定到内部对象上的字段时，就会发生这种情况。因此，大规模分配可能会导致应用程序支持开发人员从未打算处理的参数。

任务：找到并利用大规模分配漏洞来购买**轻量级l33t皮夹克**

登陆账号：wiener:peter

1、将皮夹克加入购物车后，点击付款，发现钱不够。

![image-20250817124737368](https://oss.maolin101.com/image-20250817124737368.png-101.webp)

2、在burp代理模块中http history标签页中发现一个api端点，分别发送了两个不同得请求方式。

![image-20250817124841458](https://oss.maolin101.com/image-20250817124841458.png-101.webp)

![image-20250817124859797](https://oss.maolin101.com/image-20250817124859797.png-101.webp)

![image-20250817124910085](https://oss.maolin101.com/image-20250817124910085.png-101.webp)

3、经过观察可发现，最后一个POST请求中，缺少get请求包响应的chosen_discount字段，给它加上再发包。

![image-20250817125046793](https://oss.maolin101.com/image-20250817125046793.png-101.webp)

请求成功。

4、将折扣的百分比设置为100，不久可以免费购买了吗？
![image-20250817125149704](https://oss.maolin101.com/image-20250817125149704.png-101.webp)

![image-20250817125201689](https://oss.maolin101.com/image-20250817125201689.png-101.webp)