<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Api on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</title><link>https://hackita.it/tags/api/</link><description>Recent content in Api on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</description><generator>Hugo</generator><language>it</language><lastBuildDate>Fri, 20 Mar 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://hackita.it/tags/api/index.xml" rel="self" type="application/rss+xml"/><item><title>WebSocket Hijacking (CSWSH): Cross-Site WebSocket Hijacking e Data Theft Real-Time</title><link>https://hackita.it/articoli/websocket-hijacking/</link><pubDate>Fri, 20 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/websocket-hijacking/</guid><description>&lt;h1
 id="cosè-il-websocket-hijacking" class="group/anchor-heading"&gt;
 Cos&amp;rsquo;è Il WebSocket Hijacking?
 &lt;a href="#cos%c3%a8-il-websocket-hijacking" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;I &lt;strong&gt;WebSocket&lt;/strong&gt; sono connessioni persistenti e bidirezionali tra browser e server. A differenza delle normali request HTTP (il client chiede, il server risponde, la connessione si chiude), un WebSocket resta aperto: il server può inviare dati al client in qualsiasi momento — chat in tempo reale, notifiche, aggiornamenti di dashboard, trading live, giochi online.&lt;/p&gt;
&lt;p&gt;Il &lt;strong&gt;WebSocket Hijacking&lt;/strong&gt; (o CSWSH — Cross-Site WebSocket Hijacking) si verifica quando un attaccante riesce a stabilire una connessione WebSocket verso l&amp;rsquo;applicazione target usando i cookie della vittima. Il meccanismo è simile al &lt;a href="https://hackita.it/articoli/csrf"&gt;CSRF&lt;/a&gt;: la vittima visita &lt;code&gt;evil.com&lt;/code&gt;, JavaScript apre un WebSocket verso &lt;code&gt;target.com&lt;/code&gt;, il browser include i cookie automaticamente, e il server accetta la connessione perché la sessione è valida. Da quel momento, l&amp;rsquo;attaccante riceve tutto il flusso dati in tempo reale — messaggi di chat, transazioni, notifiche — e può inviare messaggi come se fosse la vittima.&lt;/p&gt;</description></item><item><title>GraphQL Attacks: Introspection, Batching e Data Breach</title><link>https://hackita.it/articoli/graphql-exploitation/</link><pubDate>Sun, 15 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/graphql-exploitation/</guid><description>&lt;p&gt;GraphQL è una di quelle tecnologie che fanno sorridere un pentester. A differenza delle API REST — dove devi scoprire ogni endpoint con fuzzing e reverse engineering — GraphQL ha un &lt;strong&gt;singolo endpoint&lt;/strong&gt; che espone un linguaggio di query completo. E la parte migliore: la funzionalità di &lt;strong&gt;introspection&lt;/strong&gt; permette di chiedere all&amp;rsquo;API &amp;ldquo;dimmi tutto quello che sai fare&amp;rdquo;, e lei risponde con lo schema completo. Ogni tipo, ogni campo, ogni query, ogni mutation. Incluse quelle che il frontend non usa ma il backend espone lo stesso.&lt;/p&gt;</description></item><item><title>CORS Misconfiguration: Guida Completa a Exploit, Bypass e Data Theft nelle API</title><link>https://hackita.it/articoli/cors-misconfiguration/</link><pubDate>Sat, 14 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/cors-misconfiguration/</guid><description>&lt;p&gt;&lt;strong&gt;CORS&lt;/strong&gt; (Cross-Origin Resource Sharing) è il meccanismo che controlla quali domini possono leggere le risposte di un&amp;rsquo;applicazione web. Per default, il browser blocca le request JavaScript cross-origin: se sei su &lt;code&gt;evil.com&lt;/code&gt;, il tuo JavaScript non può leggere le risposte di &lt;code&gt;target.com&lt;/code&gt;. CORS rilassa questa restrizione con header specifici.&lt;/p&gt;
&lt;p&gt;Una &lt;strong&gt;CORS Misconfiguration&lt;/strong&gt; si verifica quando il server configura questi header in modo troppo permissivo — accettando qualsiasi Origin, riflettendo l&amp;rsquo;Origin dell&amp;rsquo;attaccante, o fidandosi di domini che non dovrebbe. Il risultato: JavaScript su &lt;code&gt;evil.com&lt;/code&gt; può leggere dati autenticati da &lt;code&gt;target.com&lt;/code&gt; — profili, email, dati finanziari, token API — usando il cookie della vittima. È un data theft silenzioso: la vittima visita una pagina, il suo browser fa il lavoro sporco in background.&lt;/p&gt;</description></item><item><title>API Rate Limit Bypass: Tecniche di Pentesting per Bypassare il Throttling (2026)</title><link>https://hackita.it/articoli/api-rate-limit-bypass/</link><pubDate>Wed, 04 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/api-rate-limit-bypass/</guid><description>&lt;h1
 id="bypassare-il-rate-limit-di-unapi-la-guida-pratica-con-otp-e-graphql" class="group/anchor-heading"&gt;
 Bypassare il Rate Limit di un&amp;rsquo;API: la Guida Pratica (con OTP e GraphQL)
 &lt;a href="#bypassare-il-rate-limit-di-unapi-la-guida-pratica-con-otp-e-graphql" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Il rate limit è il meccanismo che blocca un client dopo troppe request in poco tempo — ad esempio 10 tentativi di login ogni 15 minuti. È spesso l&amp;rsquo;ultima barriera reale: se il login non ha lockout, se un endpoint OTP genera codici a 6 cifre, se un&amp;rsquo;API espone dati in bulk, è il rate limit a impedire brute force e scraping su scala. Bypassarlo fa cadere tutte queste protezioni insieme — per il quadro completo sugli attacchi API vedi la &lt;a href="https://hackita.it/articoli/api-modern-web-attacks-guida-completa"&gt;guida API &amp;amp; Modern Web Attacks&lt;/a&gt;.&lt;/p&gt;</description></item><item><title>API Security: Guida Completa agli API Attacks e al Pentesting (SSRF, GraphQL, BOLA, CORS)</title><link>https://hackita.it/articoli/api-modern-web-attacks-guida-completa/</link><pubDate>Wed, 04 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/api-modern-web-attacks-guida-completa/</guid><description>&lt;h1
 id="api--modern-web-attacks--la-superficie-dattacco-che-cresce-ogni-giorno" class="group/anchor-heading"&gt;
 API &amp;amp; Modern Web Attacks — La Superficie D&amp;rsquo;Attacco Che Cresce Ogni Giorno
 &lt;a href="#api--modern-web-attacks--la-superficie-dattacco-che-cresce-ogni-giorno" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Nel 2026 il web è fatto di API. Il frontend React/Vue/Angular parla con un backend REST o GraphQL. I microservizi parlano tra loro via API interne. Le mobile app parlano con le stesse API. I webhook, le integrazioni, i partner — tutto è API. L&amp;rsquo;applicazione web &amp;ldquo;classica&amp;rdquo; con form HTML e redirect server-side sta scomparendo. &lt;strong&gt;La superficie d&amp;rsquo;attacco si è spostata quasi interamente sulle API.&lt;/strong&gt;&lt;/p&gt;</description></item><item><title>API Versioning Attack: Sfruttare Endpoint v1 Dimenticati nel Pentesting API (2026)</title><link>https://hackita.it/articoli/api-versioning-attacck/</link><pubDate>Wed, 04 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/api-versioning-attacck/</guid><description>&lt;h1
 id="cosè-un-api-versioning-attack" class="group/anchor-heading"&gt;
 Cos&amp;rsquo;è Un API Versioning Attack?
 &lt;a href="#cos%c3%a8-un-api-versioning-attack" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Un &lt;strong&gt;API Versioning Attack&lt;/strong&gt; sfrutta le versioni precedenti di un&amp;rsquo;API che sono ancora raggiungibili ma non più mantenute. Quando un&amp;rsquo;applicazione passa dalla v1 alla v2, la v2 ha le patch di sicurezza, il rate limit aggiornato, l&amp;rsquo;autenticazione forte. Ma la v1 — quella &amp;ldquo;deprecata&amp;rdquo; — resta online perché qualche client legacy la usa ancora, o semplicemente perché nessuno si è ricordato di spegnerla.&lt;/p&gt;</description></item></channel></rss>