https://portswigger.net/web-security/learning-paths/api-testing/api-testing-identifying-and-interacting-with-api-endpoints/api-testing/lab-exploiting-unused-api-endpoint#
查看功能点：

在Burp的HTTP history中发现 /api路径


我们先尝试一下将API请求的HTTP方法从 GET 更改为 OPTIONS，然后发送请求。
发现Method Not Allowed（方法不允许），但是Allow了GET和PATCH，刚刚用过GET，那试试PATCH

提示Unauthorized（未经授权）

那我们登录一下我们的账号，修改一下Cookie中的session

提示需要Content-Type设置为application/json

那么我们手动添加上去，返回Internal Server Error（内部服务器错误）

因为我们没有发送Json格式的数据过去，在Body请求体里面添加{}

返回缺少了price参数，那我们添加一下，并且设置price 为 0

再返回主页发现已经修改夹克的价格了

那么我们将其添加到购物车，然后购买即可通关。



通关！