做网站和做产品,亚马逊网站网址是多少,网络工程师高级职称,美团初期是怎么建网站文章目录 概述什么是接口#xff1f; 1、API分类特征SOAP - WSDLWeb services 三种基本元素#xff1a; OpenApi - Swagger UISpringboot Actuator 2、API检测流程Method#xff1a;请求方法URL#xff1a;唯一资源定位符Params#xff1a;请求参数Authorization#xff… 文章目录 概述什么是接口 1、API分类特征SOAP - WSDLWeb services 三种基本元素 OpenApi - Swagger UISpringboot Actuator 2、API检测流程Method请求方法URL唯一资源定位符Params请求参数Authorization认证方式Headers请求消息头 3、API检测项目Ready APIPostman 联动XrayAPIKIT Burp插件补一个案例vapi靶场搭建相关项目链接 参考 概述
什么是接口
接口是后端设计的一套供给第三方使用的方法 举个例子fofa提供了第三方api接口来进行调用使用查询语法获取资产目标资产信息 输入相关参数进行调用 API安全就是围绕着这一个接口进行的可能存在的漏洞包括SQL注入、身份验证、信息泄漏、XSS跨站等
1、API分类特征
SOAP - WSDL
Web Service是基于网络的、分布式的模块化组件通过 Web 进行发布、查找和使用**。**是应用程序组件使用开放协议进行通信 是独立的self-contained并可自我描述 可通过使用UDDI来发现可被其他应用程序使用。 交互过程 Web Services 都是放在Web服务器如IIS的。 WebService服务器端首先要通过一个WSDL文件来说明自己有什么服务可以对外调用并注册到UDDI服务器以便被人查找。 客户根据 WSDL 描述文档使用XML封装一个 SOAP 请求消息嵌入在一个HTTP POST请求中发送到 Web 服务器来。 Web 服务器再把这些请求转发给 Web Services 请求处理器。 由请求处理器解析收到的 SOAP 请求调用 Web Services然后再生成相应的 SOAP 应答。 Web 服务器得到 SOAP 应答后会再通过 HTTP应答的方式把信息送回到客户端。
Web services 三种基本元素
uudl用于提供发布和查询webservice方法 wsdl是webservice服务描述语言用于web服务说明它是一个xml文档用于说明一组soap消息如何访问接口 soap是简单对象访问协议用于分布式环境的基于信息交换的同行协议描述传递信息的格式和规范它可以用于连接web服务和客户端之间的接口是一个可以在不同操作系统上运行的不同语言编写的程序之间的传输通信协议格式为xmlsoap消息
OpenApi - Swagger UI Springboot Actuator
同时也可以测一测heapdump泄漏以及相关命令执行漏洞
2、API检测流程
接口发现遵循分类依赖语言V1/V2多版本等
Method请求方法
攻击方式OPTIONS,PUT,MOVE,DELETE 效果上传恶意文件修改页面等
URL唯一资源定位符
攻击方式猜测遍历跳转 效果未授权访问等
Params请求参数
攻击方式构造参数修改参数遍历重发 效果爆破越权未授权访问突破业务逻辑等
Authorization认证方式
攻击方式身份伪造身份篡改 效果越权未授权访问等
Headers请求消息头
攻击方式拦截数据包改Hosts改Referer改Content-Type等 效果绕过身份认证绕过Referer验证绕过类型验证DDOS等 Body消息体 攻击方式SQL注入XML注入反序列化等 效果提权突破业务逻辑未授权访问等
3、API检测项目
Ready API
需要自行破解使用只适用于windows导入接口url就可以进行安全测试漏洞类型覆盖广就是测试时间周期较长 测试结果以报告形式展示
Postman 联动Xray
postman设置代理转发 效果如图
APIKIT Burp插件
具体使用
相关配置 进行接口fuzz测试
补一个案例 vapi靶场搭建
靶场搭建 搭建完成后 后面整体靶场测试过程留在下一篇blog中……
相关项目链接
https://github.com/lijiejie/swagger-exp https://github.com/jayus0821/swagger-hack
部分项目下载 https://github.com/SmartBear/soapui https://github.com/API-Security/APIKit https://github.com/lijiejie/swagger-exp https://github.com/jayus0821/swagger-hack 靶场和资源总结 https://github.com/roottusk/vapi https://github.com/API-Security/APISandbox https://github.com/arainho/awesome-api-security
参考
https://blog.csdn.net/comeonmao/article/details/125708415 https://blog.csdn.net/m0_52526329/article/details/132022540
