🔖Private API

🔖Private API

Private APIとは #

Private APIという言葉が一般的かはわからない. 非公開API, 非公式APIと呼ばれるもの.

おそらくブラウザでアクセスできるアプリにはだいたい存在するし, スマホアプリ側からの解析も可能. リバースエンジニアリング自体は違法ではないものの大抵のサービスは利用規約に違反行為と書いてある.

Private API周りのトピック #

how to hack apis #

ref. How to Hack APIs in 2021 by Hakluke and Farah Hawa | Detectify Labs

SPAアーキの時代はPrivate API-based AutomationはWebdriver-basedによりも有利な時代になったという話.

最近のモダンなサイトはreact やvuejsをつかったspaモデルで構築されているためそのapiをpostmanで解析することで自動化は圧倒的にしやすい時代になった.

これは従来のhttpを解析して自動化するより効率的、なるほど.

出前館早押しアプリ: オートクリッカー #

出前館旧アプリで一斉を風靡?したオートクリッカーはアプリをハッキングしてprivate apiを解析.

Charlesという解析アプリで認証トークンを取得してあとはprivate apiを叩けばなんでもできる(というわたしの推測).

References #