Technology
programming
cybersecurity
Web Development
Windows
Software Development
iOS
API
Mobile Development
#ثريد عن API واختبار اختراقه
قديما كان المبرمج يبرمج تطبيق كامل للويب
ابلكيشن وتطبيق كامل للجوال مختلف عن الويب
وتطبيق اخر لنظام الويندوز وتطبيق رابع لنظام IOS
وهذا كان يستهلك موارد وعدة مبرمجين وعدة تطبيقات لوظيفة وحدها
بسبب هالصعوبات أصبحت الحاجة ملحة لاستخدام تقنيات API
قديما كان المبرمج يبرمج تطبيق كامل للويب
ابلكيشن وتطبيق كامل للجوال مختلف عن الويب
وتطبيق اخر لنظام الويندوز وتطبيق رابع لنظام IOS
وهذا كان يستهلك موارد وعدة مبرمجين وعدة تطبيقات لوظيفة وحدها
بسبب هالصعوبات أصبحت الحاجة ملحة لاستخدام تقنيات API
ببساطة بدل ما تبرمج ٥ ابلكيشن يؤدون نفس الوظيفة من الصفر عندك استخدامك api
ما تحتاج تبرمجها كلها من الصفر
بشكل ابسط تحتاج تبرمج فقط واجهة برمجية
مثال للويب ابلكيشن باستخدام html ..الخ
ووقت ما ترسل مثل طلب تسجيل دخول يتم ارسال البيانات ل api
وايضا تنطبق على جميع انواع الأنظمة
ما تحتاج تبرمجها كلها من الصفر
بشكل ابسط تحتاج تبرمج فقط واجهة برمجية
مثال للويب ابلكيشن باستخدام html ..الخ
ووقت ما ترسل مثل طلب تسجيل دخول يتم ارسال البيانات ل api
وايضا تنطبق على جميع انواع الأنظمة
الفكرة انك تبرمج واجهة api تكون وسيطة لك مع كل الأنظمة الأخرى دون الحاجة لبرمجتها من الصفر
مثال برمجة تسجيل دخول يتواصل مع قاعدة البيانات يتم ارسال الطلب لapi ويقوم بدوره الاتصال بالقاعدة
والتطبيقات الأخرى في الأنظمة المختلفة فقط تكون واجهة وترسل اي اكشن من المستخدم لapi
مثال برمجة تسجيل دخول يتواصل مع قاعدة البيانات يتم ارسال الطلب لapi ويقوم بدوره الاتصال بالقاعدة
والتطبيقات الأخرى في الأنظمة المختلفة فقط تكون واجهة وترسل اي اكشن من المستخدم لapi
وظيفة api تسهيل البرمجة
وسرعة برمجة أكثر من تطبيق على عدة أنظمة
من اكثر الأخطاء شيوعاً في اختبار التطبيقات التي تعتمد على api
انك تكتفى بفحص frontend
وأغلب frontend مصاب بثغرات تعتبر ضعيفة مثل xss وغيرها
لذلك عند وقت ما تفحص تطبيق أو موقع وما تجد ثغرات حرجة هنا طريقة الفحص
وسرعة برمجة أكثر من تطبيق على عدة أنظمة
من اكثر الأخطاء شيوعاً في اختبار التطبيقات التي تعتمد على api
انك تكتفى بفحص frontend
وأغلب frontend مصاب بثغرات تعتبر ضعيفة مثل xss وغيرها
لذلك عند وقت ما تفحص تطبيق أو موقع وما تجد ثغرات حرجة هنا طريقة الفحص
غير صحيحة تحتاج توصل لapi بشكل مباشر
اوقات عن طريق الويب ابلكيشن api يكون غير مكشوف بشكل واضح وما تقدر تختبر بطريقة صحيحة هنا تحتاج تختبر تطبيقات الجوال
كتبت هنا انواع api مع أدوات مساعدة لاختبار الاختراق
اوقات عن طريق الويب ابلكيشن api يكون غير مكشوف بشكل واضح وما تقدر تختبر بطريقة صحيحة هنا تحتاج تختبر تطبيقات الجوال
كتبت هنا انواع api مع أدوات مساعدة لاختبار الاختراق
كيف تعرف ان الموقع يستخدم api
طرق كثيرة أبرزها تتحقق من التقنيات المستخدمة
مثال اذا كان يستخدم إحدى هذه التقنيات :
angular
react
Vue
يمكن استخراج جميع endpoint الخاصة بapi
عن طريق قراءة ملفات الجافا سكربت
وهذا شرح لثغرة في burpauite enterprise
طرق كثيرة أبرزها تتحقق من التقنيات المستخدمة
مثال اذا كان يستخدم إحدى هذه التقنيات :
angular
react
Vue
يمكن استخراج جميع endpoint الخاصة بapi
عن طريق قراءة ملفات الجافا سكربت
وهذا شرح لثغرة في burpauite enterprise
Loading suggestions...