Le API (Application Programming Interfaces) sono interfacce che permettono a diverse applicazioni di comunicare tra loro, consentendo lo scambio di dati e l’integrazione di funzionalità tra sistemi differenti.
Un attaccante può sfruttare le API per accedere a dati sensibili, eseguire operazioni non autorizzate o compromettere l’integrità del sistema. Gli strumenti tradizionali cercano di identificare percorsi esposti utilizzando wordlist standard, ma questo approccio può essere insufficiente per le applicazioni moderne.
Vi segnalo Kiterunner, un tool scritto in Go, che migliora la scoperta dei contenuti. Kiterunner raccoglie informazioni da file chiamati “Swagger“, che descrivono esattamente come le API di un’app dovrebbero funzionare. Questo strumento invia la combinazione esatta di richieste (come GET o POST), riuscendo così a trovare percorsi che altri strumenti non riescono a vedere.
JoinTheQuest!
Link per il Download del tool: https://github.com/assetnote/kiterunner