Nuevos labs cada semana — Accede a todos desde 5€/mes
Ver labs →Labs de API Abuse
API Abuse & GraphQL Attacks
¿Qué es API Abuse?
Las vulnerabilidades de API Abuse explotan funcionalidades de APIs REST y GraphQL más allá de su uso previsto: rate limiting bypass, mass assignment, BOLA/BFLA, GraphQL introspection abuse, batch query attacks y enumeration via timing.
¿Por qué practicar API Abuse?
Las APIs son el target más común en aplicaciones modernas (mobile + web + B2B), y el OWASP API Top 10 es relativamente reciente — los devs todavía están al día. Bounty típico: BOLA y BFLA pagan en el rango $1,000-$10,000 por endpoint vulnerable.
¿Qué aprenderás con los labs de API Abuse?
Aprenderás el OWASP API Top 10 hands-on (BOLA, BFLA, mass assignment, server-side request forgery via webhooks), técnicas de GraphQL (introspection, alias batching, query depth attacks), y bypass de rate limiting via X-Forwarded-For + endpoints variant.
Tipos de API Abuse que cubrimos
- BOLA (Broken Object Level Auth)
Equivalente API a IDOR — accedes a objetos ajenos pasando su ID. Ej: GET /api/v1/orders/123.
- BFLA (Broken Function Level Auth)
Endpoints admin accesibles a usuarios normales. Ej: POST /api/v1/users (crear users) sin rol check.
- GraphQL introspection
Si __schema está habilitado en prod, mapeas toda la API en una query — incluyendo mutations sensibles ocultas.
- Mass assignment
PUT /users/me con `{role:"admin", verified:true}` — fields extra que el modelo acepta sin filtrar.
- Rate limit bypass
X-Forwarded-For rotativo, IPv6 prefix variation, endpoints alias (/api/v1 vs /api). Habilita brute force.
Aprende la teoría
Academy: GraphQL Security
Cargando labs...
Ver en catálogo completo →Otras categorías relacionadas
Empieza con labs de API Abuse
Practica API Abuse & GraphQL Attacks con labs basados en reportes reales. En español. Desde 5€/mes.
Empieza con el primer lab de API Abuse