Portswigger - Finding and exploiting an unused API endpoint

Tampilan awal dari Lab Finding and Exploiting an unused API endpoint
Sumber: Dokumentasi Penulis

Analis Purwakarta - Analis Admin. Pada Lab Portswigger ini, penulis akan mendemonstrasikan cara menyelesaikan tugas dari seris API Testing yang disediakan oleh Portswigger. Lab yang berjudul Finding and Exploiting an unused API endpoint, memiliki tujuan untuk memanipulasi harga dari sebuah brand baju yang disediakan didalam sebuah API.

Sebelum memasuki lab ini, penulis diberi sebuah materi bagaimana berinteraksi dengan API endpoints ketika melakukan testing pada sebuah API. Cara bagaimana penulis dapat berinteraksi dengan API endpoints tersebut diantaranya adalah:

  1. Mengidentifkasi HTTP Method apa saja yang digunakan oleh sebuah API, dan;
  2. Mengidentifikasi Content Type apa saja yang digunakan oleh sebuah API.
Langkah awal dari pengujian ini adalah penulis akan masuk menggunakan akun yang disediakan oleh Portswigger, setelah masuk menggunakan akun kembali ke halaman awal website. Pada tampilan halaman awal website, pilih produk "Lightweight "l33t" Leather Jacket", perhatikan harga jaket tersebut berjumlah $1337.00.

Penulis akan mencoba untuk mengintersep HTTP Request dengan menggunakan proxy yang telah disiapkan. Terdapat sebuah HTTP Request yang memiliki header GET Method harga dari produk baju tersebut dengan path API berupa /api/products/1/price. HTTP Response dari Request tersebut berisi setidaknya dua variabel bertipe JSON yakni Price dan Message, penulis disini akan memanipulasi harga yang didapatkan dari Price variabel. Sebagaimana diketahui pada materi sebelumnya, kita dapat memanipulasi sebuah API dengan mengganti HTTP Method, dan menambahkan Content Type apa saja yang didukung, dan digunakan pada web yang akan kita tes.


HTTP Request dan Response yang telah diintersep
Sumber: Dokumentasi Penulis

Penulis merubah HTTP method GET menggunakan method PATCH yang bertujuan untuk merubah nilai dari variabel price. Kemudian penulis menambahkan Content-Type: application/json pada bagian terakhir HTTP Header, dan menambahkan value terbaru untuk variabel price dengan menginput JSON {"price": 0} di HTTP Body.


HTTP Request dan Responnya ketika sudah di manipulasi
Sumber: Dokumentasi penulis

Bila penulis refresh laman produk tersebut, maka harga yang sebelumnya $1337.00 menjadi $0.00. Langkah terakhir dari lab ini adalah kita memasukan kedalam keranjang, dan mengorder jaket tersebut dengan harga $0.00 saja,


Tampilan akhir Lab
Sumber: Dokumentasi Penulis







Komentar

Posting Komentar

Postingan populer dari blog ini

Depo Lokomotif Stasiun Kereta Api Purwakarta Dari Masa ke Masa

Gambar
Stasiun Purwakarta Sumber:  Heritage KAI Analis Purwakarta -- Sudah menjadi khalayak umum dimana perpindahan penduduk di suatu daerah tidak lepas dari peranan sarana transportasi untuk mengakomodir penduduk berpindah dari suatu daerah ke daerah lainnya. Pada masa modern sekarang, terdapat banyak jenis dan opsi untuk menggunakan layanan transportasi, baik itu menggunakan transportasi secara individu seperti mobil/motor pribadi ataupun menggunakan sarana transportasi publik baik untuk matra darat, laut, ataupun udara. Salah satu transportasi publik yang berasal dari matra darat adalah kereta api. kereta api merupakan wahana transportasi darat yang berjalan diatas rel, dengan hulu wahana yang disebut dengan lokomotif, dan gerbong sebagai wahana pengangkutan. Kereta api memiliki fungsi tidak hanya untuk mengangkut penumpang saja, melainkan dapat digunakan sebagai pengantar barang yang berisi komoditas tertentu yang nantinya dapat diperjual-belikan, seperti batu bara, pasir, dan lain s...
Read more »

Pesona Curug Suhada di Kecamatan Sukatani Kabupaten Purwakarta

Gambar
Curug Suhada Sumber: Catur Prihatiningsih via Google Map Analis Purwakarta --  Keindahan bumi Parahyangan di Indonesia ini memang tidak pernah habis jika kita membahasnya. Keindahan keindahan tersebut membentang dari ujung Provinsi Banten hingga Kabupaten Cirebon, tentu keindahan ini harus dapat kita syukuri dengan cara menjaganya dan memanfaatkannya secara keberlanjutan.   Kabupaten Purwakarta, sebagai salah satu bagian dari bumi Parahyangan juga memiliki banyak sekali keindahan alam. Sebagai contoh kita mengenal dan mengetahui waduk buatan Jatiluhur yang memberikan manfaat bagi petani sekitar, selain itu terdapat juga waduk Wanayasa yang merupakan sumber air bagi penduduk sekitar. Kecamatan Sukatani yang terletak di Kabupaten Purwakarta juga memiliki beragam potensi wisata, salah satunya adalah Curug Suhada/Air terjun Suhada. Curug Suhada  berlokasi di Kampung Tajur, Desa Sindanglaya, Kecamatan Sukatani. Curug Suhada merupakan wisata alam berupa kawasan wisata air ...
Read more »

PICO CTF Web Exploitation 2024 WebDecode Challenge

Gambar
  Analis Purwakarta - Analis Purwakarta.  Pada kesempatan kali ini penulis akan membagikan sebuah catatan mengenai tantangan Capture The Flag (CTF) dari website picoCTF tahun 2024. WebDecode challenge merupakan bagian dari serial tantangan  Web Exploitation untuk menemukan sebuah bendera atau kita kenal sebagai flag. Untuk menemukan flag tersebut kita disuguhkan sebuah tampilan situs statis yang memuat tiga halaman, yakni Home, About, dan Contact . Untuk mendapatkan bendera tersebut kita hanya perlu menginspeksi setiap halaman situs menggunakan Web Console pada setiap halaman situs. Tampilan Awal Situs WebDecode Nilai Bendera pada tantangan WebDecode tidak ditunjukan langsung begitu saja, melainkan kita perlu mendekripsikan nilai dari bendera tersebut. Kita bisa menggunakan  Cyberchef  untuk melakukan proses dekripsi. Enkripsi yang digunakan pada bendera tersebut adalah Base64. Tampilan awal situs Cyberchef Bila kita sudah selesai melakukan proses dekripsi maka...
Read more »