API 渗透测试从入门到精通系列文章(下)

最新推荐文章于 2024-10-12 17:09:31 发布
最新推荐文章于 2024-10-12 17:09:31 发布
阅读量1k 收藏 2
点赞数
分类专栏: 计算机网络 网络安全 文章标签: postman java 前端 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77157449/article/details/130494252
版权
本篇博客深入探讨了如何在API渗透测试中利用Postman的集合变量、环境变量、路由参数和无记名令牌功能。通过设置和使用这些功能,可以更高效地管理和自动化测试过程。此外,还介绍了如何通过Postman与Burp Suite结合,进行Bearer Tokens的自动化更新以及使用Jython和扩展插件如JSON Web Token Attacker和Autorize增强测试能力。
摘要由CSDN通过智能技术生成

导语:在本系列文章的前面一部分我们从使用 Postman 开始,创建了集合和请求,并通过 Burp Suite 设置为了 Postman
的代理,这样我们就可以使用 Burp 的模糊测试和请求篡改的功能。

在本系列文章的前面一部分我们从使用 Postman 开始,创建了集合和请求,并通过 Burp Suite 设置为了 Postman 的代理,这样我们就可以使用 Burp 的模糊测试和请求篡改的功能。 在接下来的这部分内容中,我们将深入研究一些稍微高级一点的 Postman 功能,这些功能你肯定会用到的。

集合变量

在这里插入图片描述
Postman 中的变量几乎可以用于请求中的任何字段。 语法是在它们的两边使用两层花括号。有几个地方我可以使用变量定义它们。 如果它们是静态的,也许我会将它们设置为集合变量。 例如,我一直使用 http://localhost:4000 作为我的测试主机。 如果我将测试 API 的端口从4000改为4001,我不希望一个个编辑每个请求的 URL。接下来我介绍一下我们该如何将它移动到一个集合变量中。首先,在菜单侧栏中打开"集合"列表中编辑该集合的对话框。 我可以单击… 按钮或者右键单击集合名称。这两种操作,我们会得到相同的上下文菜单,然后选择编辑(Edit)。

这将打开一个编辑集合的对话框。 默认视图包括集合的名称和描述的文本框,但是在这两个字段之间还有一行选项卡。

其中一个标签叫做变量(Variables)。这就是我们想要的,点击这个标签会打开另一个对话框,用于编辑变量。
在这里插入图片描述
Postman 集合变量编辑界面

它有一个表格,其中包含某个变量的变量名称、 初始值列和 当前值列。 这两个值列之间的差异与 Postman 的付费功能进行同步有关。 在这里重要的一个点是,你将输入初始值,然后选项卡进入当前值字段。 这将自动将当前初始值填充到当前值字段中,并且它将如图所示。 现在我有了一个名为 API_host 的集合变量,其值为 http://localhost:4000。 在完成了变量的编辑之后需要点击更新按钮。

现在是时候修改我的请求,并引用该变量,而不是使用硬编码的主机名和端口。
在这里插入图片描述
Postman 中的请求,将 URL 更改为指向一个变量

我只是简单地用占位符替换了每个 URL 中对应的部分: { {API_host}},把鼠标悬停在占位符上可以展开这个变量,会显示变量值和范围。 这里有一些颜色编码也可以帮助我们。 当变量有效时,文本会变成橙色,但是如果我输入一个无效的变量名,文本将变成红色。

我仍然需要对每个请求进行一次更新,让它们使用某个变量。 但是在将来,如果我改变了端口,或者如果我切换到了 HTTPS,或者如果我将我的测试 API 部署到一个完全不同的主机上; 那么我就可以回到集合变量那里并更新变量的值,我的所有请求都会相应地发生改变。

现在,集合变量对于相对静态的字段以及不会经常发生改变的字段是很适合的,但是如果我在一个多租户的解决方案中测试多个环境和部署,甚至多个租户呢? 我可能会使用相同的请求集合,但是使用不同的变量集合。 那么在这种情下环境变量就可以处理这个问题。

环境变量(Environment Variables)

你可能已经注意到了窗口右上角的界面。 让我们打开看看:
在这里插入图片描述
在 Postman 中的环境变量界面

  1. 环境选择器下拉菜单。 可以选择一个环境。

  2. 快速查看按钮,点击后可以查看你的环境中设置的内容。

最低0.47元/天 解锁文章
网安周
关注
专栏目录
API 渗透测试从入门到精通系列文章(上)
2301_77157449的博客
05-04 857
导语:这是关于使用 Postman 进行渗透测试系列文章的第一部分。这是关于使用 Postman 进行渗透测试系列文章的第一部分。我原本计划只发布一篇文章,但最后发现内容太多了,如果不把它分成几个部分的话,很可能会让读者不知所措。所以我的计划是这样的: 在这篇文章中,我将向你介绍如何设置 Postman 并使用它来发出常规请求。在第2部分,我会让你通过 Burp Suite 代理 Postman网络流量。
API 接口渗透测试
YLF123456789000的博客
03-21 1403
参数可以是用户名、用户 ID,连续的数字,变形的连续数字(各种编码或哈希),通过直接修改参数值完成越权的操作。主要使用 Soap UI Open Source,有安全测试Case,需要配置 SOAP 代理到 Burp,数据流,现在的版本是5.4.0。Web Service 是一种服务导向架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。此类模式和架构的应用越来越多导致 API 接口的应用也越来越流行。XXE,Restful API 的注入漏洞,XSS,溢出,特殊字符的处理。
API接口渗透测试指南 -- 眼花缭乱的接口,始终如一的本质
最新发布
ffr666的博客
10-12 984
绪论如果各位师傅觉得有用的话,可以给我点个关注~~ 如果师傅们有什么好的建议也欢迎联系我~~ 感谢各位师傅的支持~~正文部分题记:眼花缭乱的接口,始终如一的本质本文是fkalis在早期在i春秋的投稿,由于文章是之前写的,可能存在一些不足,例如:GraphQL协议一些其他的测试方法,没有补充实战案例等,这些我后续都会出系列文章进行补充,请各位师傅见谅!本篇文章作者fkalis,本文属i春秋原创奖励计...
2024年API接口渗透测试_api接口,泄漏服务器版本信息吗(2),2024年最新一位软件测试大牛的BAT面试心得与经验总结
2401_84141337的博客
05-08 982
爬虫。
API 安全测试(偏渗透测试
hide_in_darkness的博客
06-05 2430
API,全称为Application Programming Interface(应用程序编程接口),是一套预先定义的函数、协议和工具的集合,用于构建软件应用。API定义了软件组件之间如何相互通信,它允许不同的软件系统之间进行交互,而无需开发者了解这些系统的具体实现细节。随着数字化转型的深入,API产品的价值日益增高,特别是与微服务、DevOps等技术的融合,使得API成为企业战略发展加速的利器。​ 我们以家庭宽带异常作为例子更加形象的向大家介绍一下 API
软件测试精华总结,入门到精通全流程(必看,知识点很全)
公众号已改名为-程序员阿沐
03-01 6377
软件测试精华总结,入门到精通全流程(必看,知识点很全)
Android智能穿戴设备开发从入门到精通
05-03
本资料包“Android智能穿戴设备开发从入门到精通”旨在帮助开发者从零基础开始,逐步掌握Android在智能穿戴设备上的应用开发技能。 首先,我们要理解Android智能穿戴设备的基本架构。它通常由硬件层(如传感器、...
Shodan中文手册:从入门到精通
内容经过译者的增删改,并进行了实际测试和验证,适合渗透测试网络安全领域的专业人士参考。" Shodan是一个独特的互联网搜索引擎,专门用于寻找互联网上的设备和服务,如服务器、路由器、摄像头等,并揭示它们的...
渗透测试-API接口测试
热门推荐
道阻且长,行则将至。
05-14 1万+
接口测试 本文记录的是PostmanAPI 接口测试工具)学习,以及一些接口测试概念。帮助大家建立接口测试的整体概念,以及学会Postman工具的使用。 接口测试的作用: 接口测试的内容: 接口测试工具Postman的特点: 使用简单,上手快,很适合调试; 但保存请求,批量运行时,执行速度慢,建议使用Jmeter工具。 Postman Postman直接官网下载:https://www.postman.com/downloads/,双击自动安装,打开注册后即可运行。 Postman的界面如下: Ge
API 渗透测试学习资源
lurenjia404的博客
04-22 915
API,即应用程序编程接口,是一组规则和协议,允许不同的软件应用程序相互通信。它定义应用程序可用于请求和交换信息的方法和数据格式。Web API:这些是可使用 HTTP 等标准 Web 协议通过 Internet 访问的 API。库 API:库 API 提供了一组函数和类,开发人员可以使用这些函数和类在其应用程序中执行特定任务。操作系统 API:这些 API 提供一组用于与操作系统交互的函数和过程。一篇详细介绍API渗透测试文章,在黑盒、灰盒和白盒等三个方面分别讲述了测试原则、目标以及具体使用案例。
Burp Suite 开放了新的数据库打通 API 接口,快速辅助渗透测试.zip
09-24
Burp Suite 开放了新的数据库打通 API 接口,快速辅助渗透测试。.zip,基于vulners.com搜索api的漏洞扫描
12.API接口测试.zip
07-31
API接口测试,关于接口测试的总结,接口测试学习笔记,接口测试用例
API渗透测试笔记整理
就是我的博客
03-14 1866
通过API,开发人员可以更加灵活方便的构建应用程序,渗透测试人员也应进一步学习API渗透测试,关注API的安全性,我将API渗透测试的步骤简单划分为:API信息搜集、API交互测试、API漏洞总结三个步骤,下面通过burpsuite的API渗透测试实验室,了解一下API渗透测试的具体内容。
现代API渗透技术,我服了
weixin_64314555的博客
12-03 2728
在由机械工业出版社发行的《API安全技术与实战》一书中如果时间充分的话关于API渗透测试的内容个人觉得还可以更丰满一些。近期,在国外网站看到一篇不错的文章,转译过来供大家学习参考。 在过去的一些年里API 不像现在那么普遍,这是由于单页应用程序 (SPA) 流行的结果。10 年前,Web 应用程序倾向于遵循单一模式,即大多数应用程序在呈现给用户之前在服务器端生成。任何需要的数据都将由系统生成 UI 的同一台服务器直接从数据库中收集。它的形式看起来像这样: 图:10年前的Web应用模型 现代 W
API接口渗透测试_api接口,泄漏服务器版本信息吗
2401_85599088的博客
06-24 303
Web 应用程序和 APP 应用程序的 API 跟目前的流行框架和模式相关,主要有3种模式:MVC、MVP、MVVM。MVC 将整个应用分成 Model、View 和 Controller 三个部分,而这些组成部分其实也有着几乎相同的职责。此类模式和架构的应用越来越多导致 API 接口的应用也越来越流行。想了解更多可以在网上查找相关资料。fuzzing爬虫。
API接口渗透测试技巧汇总(API安全)
墨痕诉清风的博客
03-01 2299
远程过程调用(英语:Remote Procedure Call,缩写为 RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程,那么远程过程调用亦可称作远程调用或远程方法调用,例:Java RMI。RPC 一般直接使用 TCP 协议进行通信,通常不涉及到 HTTP。HTTP 下面有2种技术:Web service 和 RESTful API 都可算作远程过程调用的子集。
Web API 渗透测试指南
江左盟的博客
08-05 880
Web API 渗透测试指南
百度地图API开发手册:从入门到精通
百度地图API是一个强大的工具,它允许开发者集成地图功能到自己的网站或应用程序中,提供包括定位、地图展示、路线规划、地理编码等多种服务。 1. **简介** 百度地图API是百度公司提供的开放接口,让开发者能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值