API 渗透测试从入门到精通系列文章(上)

最新推荐文章于 2024-06-24 14:11:44 发布
最新推荐文章于 2024-06-24 14:11:44 发布
阅读量810 收藏 2
点赞数
分类专栏: 计算机网络 网络安全 文章标签: postman ubuntu 测试工具 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77157449/article/details/130493976
版权
本文是使用 Postman 进行渗透测试系列文章的第一部分,介绍如何设置 Postman、配置代理及使用基本功能。内容涵盖安装 Postman、设置代理(如 Burp Suite)、创建和管理 HTTP 请求,以及处理 API 的身份验证,如无记名令牌。通过实例展示了 Postman 在测试 RESTful 网络服务中的作用。
摘要由CSDN通过智能技术生成

导语:这是关于使用 Postman 进行渗透测试系列文章的第一部分。

这是关于使用 Postman 进行渗透测试系列文章的第一部分。我原本计划只发布一篇文章,但最后发现内容太多了,如果不把它分成几个部分的话,很可能会让读者不知所措。 所以我的计划是这样的: 在这篇文章中,我将向你介绍如何设置 Postman 并使用它来发出常规请求。 在第2部分,我会让你通过 Burp Suite 代理 Postman 的网络流量。 在第3部分中,我们将介绍 Postman 的更高级的用法,包括更优雅地处理无记名令牌(Bearer Token)和环境变量。 在第4部分中,我将介绍一两个能够真正增强 Postman 渗透测试效果的 Burp 插件。

在这个时代,Web 和移动应用程序通常是由 RESTful 网络服务提供支持的。 公共和私有 API 在互联网上非常普遍,测试这些 API 绝非易事,但有一些工具可以帮助你。 虽然(通常用与渗透测试)工具不能代替技能,但即使是最熟练的木匠也能用锤子比用鞋子更有效地钉钉子。

Postman 就是这样一个工具,它在开发者中已经流行了很多年。 在我们进入如何设置它的主题之前,我们先来快速介绍一下这个工具是什么以及可以做什么。 Postman 是一个商业桌面应用程序,可用于 Windows、 Mac OS 和 Linux。 它的大部分功能是免费的,也有付费的功能,比如提供协作和文档功能。 与渗透测试人员相比,这些特性对开发人员更有意义。 它用于管理测试各种 API 调用的 HTTP 请求集合,以及包含变量的环境。 它并不能替代你的代理(如:Burp,ZAP,Mitmproxy 等等) ,但是实际上弥补了浏览器和客户端应用程序层缺失的功能。 对于这款工具主要的替代方案是开源工具 Insomnia 和高级 REST 客户端,商业产品 SoapUI,或建立在 Swagger/Swagger UI 或 curl 的自定义工具。

设置 Postman

在这里插入图片描述
在其官方网站上(https://www.getpostman.com,)可以找到 Postman,提供 Windows 和 MacOS 的安装程序,以及 Linux 的 tar 包。 它也可以在 Ubuntu 的 Snap for Ubuntu ( HTTPs://snapcraft.io/postman )和其他社区维护的 repos 中找到,比如 Arch Linux 的 AUR。 设置它的第一步当然是程序安装。

在第一次启动 Postman 时,你会看到一个屏幕,提示你创建一个帐户,注册谷歌,或者用现有的凭证进行登录。 然而, Postman 并不需要一个帐户来执行后续的使用。

登录的帐户用于协作/同步/等; 这些是付费的功能。正如我前面提到的,这几个功能对于开发人员来说很棒,但对你来说,可能并不关心。 事实上,如果你通常需要对你的客户端机械能保密,就像我们在 Secure Ideas 所做的事情,那么你可能明确地不希望将你的项目同步到另一个第三方服务器。<

最低0.47元/天 解锁文章
网安周
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API接口渗透测试技巧汇总(API安全)
墨痕诉清风的博客
03-01 2174
远程过程调用(英语:Remote Procedure Call,缩写为 RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程,那么远程过程调用亦可称作远程调用或远程方法调用,例:Java RMI。RPC 一般直接使用 TCP 协议进行通信,通常不涉及到 HTTP。HTTP 下面有2种技术:Web service 和 RESTful API 都可算作远程过程调用的子集。
ActiveMQ从入门到精通(一)
01-27
这是关于消息中间件ActiveMQ的一个系列专题文章,将涵盖JMS、ActiveMQ的初步入门及API详细使用、两种经典的消息模式(PTP andPub/Sub)、与Spring整合、ActiveMQ集群、监控与配置优化等。话不多说,我们来一起瞧一瞧...
API接口渗透测试_api接口,泄漏服务器版本信息吗
最新发布
2401_85599088的博客
06-24 257
Web 应用程序和 APP 应用程序的 API 跟目前的流行框架和模式相关,主要有3种模式:MVC、MVP、MVVM。MVC 将整个应用分成 Model、View 和 Controller 三个部分,而这些组成部分其实也有着几乎相同的职责。此类模式和架构的应用越来越多导致 API 接口的应用也越来越流行。想了解更多可以在网上查找相关资料。fuzzing爬虫。
API 渗透测试的基本流程及关键点
CSDN_430422的博客
06-20 802
渗透测试工作开展的过程中,沟通是一项必不可少的工作,沟通的目的是为了让相关干系人了解渗透测试工作的现状,同步关键信息,减少无意义的误解和歧义,增强管理层、团队人员对渗透测试工作的信心,促进渗透测试工作走向既定目标。沟通的方式有很多种,可以选择定期的会议、每天的日报、每周的周报、口头汇报以及即时通信工具等,通过沟通,让关系渗透测试工作的人了解他想了解的内容,统一目标和利益关系,达成共识,为最终目的助力。只有清楚了渗透测试的目的,才能在活动开展过程中,抓大放小,理解重点,达到渗透测试活动开展的预期效果。
2024年API接口渗透测试_api接口,泄漏服务器版本信息吗(2),2024年最新一位软件测试大牛的BAT面试心得与经验总结
2401_84141337的博客
05-08 941
爬虫。
API 渗透测试从入门到精通系列文章(下)
2301_77157449的博客
05-04 1055
虽然本系列文章的内容不够全面,但是希望这篇文章能够提供足够充分的介绍,让我们开始使用这些插件,这些插件在大多数 API 测试中都很有用,至少在现代 API 中是如此。自动化对于测试 API 和 SOAP 服务也是非常好用的,而 JSON Web Token Attacker 则非常特定于某种已经变得相当流行的并且是常见的身份验证方式,特别是它在 OAuth2 实现中的使用。
(45.5)【API接口漏洞】API接口之Web Service测试工具Soap UI PRO、SOAPSonar、Burp Suite、WSSAT、WS-Attacker
05-08 2856
API接口测试】Web Service测试工具
FFmpeg 从入门到精通
01-02
"FFmpeg 从入门到精通" FFmpeg 是一个开源的、跨平台的多媒体处理工具,能够处理音频、视频、流媒体等多种媒体格式。它具有强大的处理能力和灵活的配置选项,广泛应用于音视频开发、流媒体处理、音视频编辑等领域。...
vue 3.0学习笔记(从入门到精通)
10-07
本文将从入门到精通的角度详细介绍Vue 3.0的关键知识点。 首先,安装Vue 3.0的开发环境是至关重要的。你可以通过npm(Node Package Manager)全局安装Vue CLI的最新版本,命令为`npm I -g @vue/cli@next`。接着,...
基于Selenium 2的自动化测试 从入门到精通完整版
02-13
**Selenium 2 自动化测试:从入门到精通** Selenium 2 是一个广泛使用的开源自动化测试框架,用于Web应用程序。它支持多种编程语言,包括Java、Python、C#等,使得测试工程师和开发人员能够编写可跨浏览器运行的...
API 接口渗透测试
2301_78843735的博客
07-06 808
参数可以是用户名、用户 ID,连续的数字,变形的连续数字(各种编码或哈希),通过直接修改参数值完成越权的操作。Web Service 是一种比较“重”和“老”的 Web 接口技术,目前大部分应用于金融机构的历史应用和比较老的应用中。Web Service 是一种服务导向架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。此类模式和架构的应用越来越多导致 API 接口的应用也越来越流行。XXE,Restful API 的注入漏洞,XSS,溢出,特殊字符的处理。
一次渗透测试实战
热门推荐
m0_46467017的博客
04-23 2万+
一次渗透测试实战前言信息收集漏洞验证漏洞攻击Grafana任意文件读取漏洞(CVE-2021-43798)一、漏洞描述二、漏洞影响范围Payload:ActiveMQ 任意文件上传漏洞(CVE-2016-3088)一、漏洞描述二、漏洞影响范围三、漏洞利用:写入webshell权限提升CVE-2021-4034 Linux polkit 提权漏洞一、漏洞描述二、影响版本三、漏洞利用总结 前言 学习了一两个月的安全,为了对自己的一个学习水平做一个总结,所以我特地找来一个网站来进行一次渗透实战。 信息收集 这次的
【精选推荐】3款强大的API渗透测试工具
小司机的奥拓
01-27 1843
给大家介绍三款优秀的API渗透测试工具,这三款工具都是基于开源项目,拥有强大的功能和丰富的特性,让我们一起来看看吧!
API接口服务漏洞发现与修复思路
永远是少年
01-02 1990
今天继续给大家介绍渗透测试相关知识,本文主要内容是API接口服务漏洞发现与修复思路。 一、端口服务漏洞发现与修复思路 二、API接口服务漏洞发现与修复思路 三、补充:信息收集小技巧
API渗透测试笔记整理
就是我的博客
03-14 1493
通过API,开发人员可以更加灵活方便的构建应用程序,渗透测试人员也应进一步学习API渗透测试,关注API的安全性,我将API渗透测试的步骤简单划分为:API信息搜集、API交互测试、API漏洞总结三个步骤,下面通过burpsuite的API渗透测试实验室,了解一下API渗透测试的具体内容。
现代API渗透技术,我服了
weixin_64314555的博客
12-03 2596
在由机械工业出版社发行的《API安全技术与实战》一书中如果时间充分的话关于API渗透测试的内容个人觉得还可以更丰满一些。近期,在国外网站看到一篇不错的文章,转译过来供大家学习参考。 在过去的一些年里API 不像现在那么普遍,这是由于单页应用程序 (SPA) 流行的结果。10 年前,Web 应用程序倾向于遵循单一模式,即大多数应用程序在呈现给用户之前在服务器端生成。任何需要的数据都将由系统生成 UI 的同一台服务器直接从数据库中收集。它的形式看起来像这样: 图:10年前的Web应用模型 现代 W
API 渗透测试学习资源
lurenjia404的博客
04-22 855
API,即应用程序编程接口,是一组规则和协议,允许不同的软件应用程序相互通信。它定义应用程序可用于请求和交换信息的方法和数据格式。Web API:这些是可使用 HTTP 等标准 Web 协议通过 Internet 访问的 API。库 API:库 API 提供了一组函数和类,开发人员可以使用这些函数和类在其应用程序中执行特定任务。操作系统 API:这些 API 提供一组用于与操作系统交互的函数和过程。一篇详细介绍API渗透测试文章,在黑盒、灰盒和白盒等三个方面分别讲述了测试原则、目标以及具体使用案例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值