API - Attack

Def et Fonctionnement :

8-API-attack-types_v2.webp

Qu'est-ce qu'une attaque API ?

https://apimike.com/api-attack-types
https://www.reblaze.com/wiki/api-security/what-is-an-api-attack/
C'est une manipulation abusive d'une API pour obtenir des données généralement. Le but étant de faire des brêches de données.
Les APIs sont importantes cela augmente largement la surface de d'attaque.

## Broken Access Control :

Def :

Les contrôles d'accès incorrectement configurés ou manquants permettent aux attaquants de contourner les politiques de sécurité et d'accéder à des données non autorisées ou à des fonctionnalités
- Exemple : une page admin d'un site web mal sécurisée qui laisse passer les gens qui ont le lien

### DDoS :

Def et Fonctionnement:

Pasted image 20240403110332.pngDistributed Denial of Services est une attaque qui vise simplement à impacter la disponibilité d'un service en lançant de très nombreuses requêtes sur la cible. Certaines attaques peuvent mettre à mal un service pendant plusieurs jours, voir semaine mais cette attaque peut coûter très cher.

Le but est de rendre un endpoints API indisponible pour rendre une application qui l'utilise disfonctionnelle.

Injections :

SQL :

Def et Fonctionement:

Le but est de contourner les mesures de sécurités utilisées afin de faire une énumération de la table ou éventuellement une RDE.
Aussi on peut utiliser SQLMap
Pour apprendre à faire les Injections SQL :

Cheatsheet :
https://portswigger.net/web-security/sql-injection/cheat-sheet

Attaquer avec une injection permet de d'exploiter une database.

MITM :

Def et fonctionnement :

man-in-the-middle-attack-how-avoid-768x403.webp
Qu'est-ce qu'un MITM ? À la différence du sniffing, le MITM n'écoute pas simplement les packet échangés, mais essaie de convaincre le pc de la victime de se connecter au pc de l'attaquant, qui va rediriger ensuite le traffic en le scannant par exemple.

Le but ici est d'intercepter un token de session dans un header HTTP, ce qui permet d'accéder à la session d'un utilisateur dans l'API.

Exploitation :

La encore il n'est pas possible de faire une liste exhaustive et générale des attaques sur les APIs donc des exemples d'exploitation seront donnés :