Уязвимости API

Сегодня почти каждое веб-приложение работает через API — будь то REST, SOAP или XML-RPC. И если интерфейс для пользователя выглядит безопасным, то внутри сервис может выдавать куда больше, чем должен. Ошибки в API часто приводят к утечкам данных, удалённому выполнению кода или даже полному контролю над приложением.

В этом модуле мы собрали самые показательные уязвимости API и веб-сервисов:

🛰 SOAP и WSDL
– что такое WSDL и как через него раскрывается структура сервиса;
– подделка SOAPAction (SOAPAction Spoofing), когда можно заставить API выполнить другое действие;
– Command Injection в SOAP — внедрение системных команд через запрос.

🔌 XML-RPC и WordPress
– атаки через файл xmlrpc.php, который до сих пор используется на тысячах сайтов.

🔓 Раскрытие и загрузка
– как API выдаёт лишнюю информацию;
– уязвимости загрузки файлов через API.

📂 Классические атаки в новом контексте
– LFI через API: доступ к файлам сервера;
– XSS в веб-сервисах;
– SSRF: заставляем API обращаться к внутренним сервисам;
– XXE: как небезопасный XML позволяет читать файлы и вытаскивать данные.

⚡ Отказ в обслуживании (ReDoS)
– почему регулярные выражения в API могут «положить» сервис.

🧪 Практика и формат

В модуле — 8 практических стендов из 12 уроков.
Ты попробуешь подделывать SOAP-запросы, внедрять команды, находить лишние данные, атаковать загрузку файлов, использовать SSRF и XXE.

Теория остаётся там, где без неё не обойтись: чтобы понимать механику протоколов, язык WSDL и принципы защиты.

🎯 Кому подойдёт модуль

• Пентестерам и багбаунти-хантерам — чтобы научиться искать и эксплуатировать уязвимости API на практике.

• Разработчикам — чтобы перестать оставлять критичные дыры в сервисах.

• Специалистам по ИБ — для уверенного аудита SOAP, XML-RPC и REST-интерфейсов.

🚀 Уязвимости API — это модуль о том, как в сервисах, которые «должны просто работать», скрываются самые серьёзные угрозы.