API安全测试 | Postman + BurpSuite 配置证书代理

于 2024-09-12 09:42:53 发布
阅读量559 收藏 8
点赞数 20
文章标签: postman 测试工具 xss csrf 服务器 spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80127209/article/details/142166483
版权

图片

img

在对使用基于证书的身份验证的 API进行安全你测试时,需要将证书添加到我们的工具(如 Postman 和 Burp Suite)中。这样我们才能够在客户端和服务器之间代理请求进行分析,以便评估 API 的安全性。

在本文我们将介绍将证书和私钥合并到 Postman 以进行身份验证的步骤。我们还将介绍如何以 pkcs12 格式包含客户端证书,以便使用 Burp Suite 进行无缝流量拦截。

目录

•前提条件条件 | 环境准备

•将客户端证书导入 Postman

•在 Postman 中配置代理

•将客户端证书导入 Burp Suite

前提条件条件 | 环境准备

•客户端证书文件

•私钥文件

•Burp Suite(免费版或专业版)

•postman

将客户端证书导入 Postman

要在 Postman 中添加证书,我们需要从其官方网站下载 Postman Desktop 代理。此应用程序是跨平台的,支持 Windows、Linux 和 MacOS。

•下载链接:https://www.postman.com/downloads[1]

下载 Postman 后,打开 Workspace 仪表板,单击齿轮图标进入“设置”菜单。在“证书”部分中,单击“添加证书”按钮。

img

图片

img

然后,我们输入证书信息,包括证书文件(通常为.crt.pem.cer格式)和私钥文件(为.key.pem格式)。如果证书使用密码,我们也需要提供密码。

输入所有必需的详细信息后,我们可以点击“添加”。这将在客户端证书部分下添加新证书,可以从设置中访问,如下图所示。

img

图片

img

现在 Postman 将在发送到“test.com”域的所有 HTTPS 请求中包含客户端证书。为了验证这一点,我们使用 HTTPS 向域发送请求并在控制台中检查证书。

图 5 — 显示在 Postman 中发送 HTTPS 请求 — r3dbuck3t

图片

图 6 — 显示在 Postman 控制台中检查客户端证书 — r3d-buck3t.com

在 Postman 中配置代理

添加客户端证书后,我们需要设置 Postman 代理请求到 Burp Suite。为此,我们再次导航到“设置”菜单,单击“代理”部分,然后启用“使用自定义代理配置”的切换按钮。

之后,选择代理类型为 HTTP 和 HTTPS,并指定代理服务器的 IP 地址(在本例中为本地主机),输入 127.0.0.1,并将 Burp Suite 的端口号指定为 8080(默认端口)。

图 7-显示 Postman 中的代理设置 — r3d-buck3t

将客户端证书导入 Burp Suite

将证书添加到 Burp Suite,我们需要命令 OpenSSL 将证书和私钥文件捆绑为 pkcs12 格式。如果私钥使用密码,OpenSSL 会要求输入密码。

  • sudo openssl pkcs12 -export -out cert.pfx -inkey private.key -in certificate.crt

它还会要求输入提取证书时所需的导出密码。记住导出密码很重要,因为我们稍后将证书添加到 Burp 时会需要它。

图 8 — 显示将文件转换为 pkcs12 — r3d-buck3t

接下来,我们进入 Burp 设置,在网络部分下,导航到 TLS > 客户端证书。我们点击“添加”,选择证书类为“PKCS#12”,然后单击下一步。

img

图片

img

我们在格式中选择刚刚转换的证书.pfx,并提供我们在转换文件时使用的导出密码。正确加载后,我们将收到“证书已成功加载”的消息。

img

img

完成这些步骤后,我们就可以使用 Burp 拦截来自 Postman 的 HTTPS 请求了。

今天的文章就到这里,感谢阅读!

无偿获取网络安全优质学习资料与干货教程

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

运维Z叔
关注
  • 20
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Burp Suite实战指南:高级渗透测试与Web安全检测
TechEnthusiast的博客
08-20 253
根据应用特性选择相应的检查项调整扫描深度和并发设置Burp Suite是一个强大而复杂的工具,掌握其高级功能需要大量的实践和经验。作为高级安全测试人员,我们不仅要熟练使用工具,更要深入理解各类漏洞的原理和利用方式。记住,工具只是辅助,真正的核心是我们的安全思维和技术洞察力。持续学习、保持好奇心,并时刻关注最新的安全趋势,这样我们才能在瞬息万变的网络安全领域保持领先地位。最后,ethical hacking的原则同样重要。我们的目标是提高系统的安全性,而不是造成破坏。
API 渗透测试从入门到精通系列文章(上)
2301_77157449的博客
05-04 818
导语:这是关于使用 Postman 进行渗透测试系列文章的第一部分。这是关于使用 Postman 进行渗透测试系列文章的第一部分。我原本计划只发布一篇文章,但最后发现内容太多了,如果不把它分成几个部分的话,很可能会让读者不知所措。所以我的计划是这样的: 在这篇文章中,我将向你介绍如何设置 Postman 并使用它来发出常规请求。在第2部分,我会让你通过 Burp Suite 代理 Postman 的网络流量。
如何使用Postman更好的进行API渗透测试
qkh1234567的博客
05-30 1726
虽然本文章的内容不够全面,但是希望这篇文章能够提供足够充分的介绍,让我们开始使用这些插件,这些插件在大多数API测试中都很有用,至少在现代API中是如此。自动化对于测试API和SOAP服务也是非常好用的,而JSON Web Token Attacker 则非常特定于某种已经变得相当流行的并且是常见的身份验证方式,特别是它在OAuth2实现中的使用。
如何绕过api的防重放做安全测试
dayouzi的博客
10-17 862
笔者在进行api接口的测试时(因为菜没有工具,只能另辟蹊跷),使用postman+xray进行安全测试,但是因为nonce参数检测的缘故,导致xray的发出的扫描包全部失效,导致无法使用xray进行安全扫描,由此引入问题。
如何使用Burp Suite Scanner进行安全测试
weixin_30675967的博客
11-23 472
1.运行BurpSuite。 直接点击jar运行: 2. 设置代理BurpSuite配置: 进入proxy -> options,IP 设置(扫描burpSuite本机浏览器使用127.0.0.1,扫描远程浏览器设置成burpSuite这台机器的ip地址). intercept设置为off 浏览器设置(chrome为例):进入浏览器设置,按下列步骤进行(如果是本机...
现代API渗透技术,我服了
SharingOfficer的博客
12-08 451
在由机械工业出版社发行的《API安全技术与实战》一书中如果时间充分的话关于API渗透测试的内容个人觉得还可以更丰满一些。近期,在国外网站看到一篇不错的文章,转译过来供大家学习参考。 在过去的一些年里API 不像现在那么普遍,这是由于单页应用程序 (SPA) 流行的结果。10 年前,Web 应用程序倾向于遵循单一模式,即大多数应用程序在呈现给用户之前在服务器端生成。任何需要的数据都将由系统生成 UI 的同一台服务器直接从数据库中收集。它的形式看起来像这样: 图:10年前的Web应用模型 现代 W
【愚公系列】《AIGC辅助软件开发》019-AI 辅助测试与调试:AI辅助测试与调试应用案例
热门推荐
时光隧道
07-30 1万+
在当今软件开发领域,软件测试起着至关重要的作用。软件测试是确保软件质量的关键步骤,能够发现软件中的缺陷和错误,从而提高软件的可靠性、稳定性和安全性。然而,传统的软件测试方法存在许多问题,如测试效率低、测试质量难以保证、测试成本高等。因此,AI技术在软件测试领域的应用已成为一种必然趋势。应用领域描述1. 测试需求分析AI技术可以协助测试人员快速、准确地分析和整理测试需求,从而更好地理解需求,为后续的测试工作提供支持。2. 编写测试计划。
前后端跨域问题
最新发布
现在我也是的博客
09-11 166
前后端跨域解决
SpringMVC重点功能底层源码解析
业精于勤荒于嬉,行成于思毁于随
09-06 1636
SpringMVC在进行把String转成User对象时,会先判断有没有User类型对应的StringToUserEditor,如果有就会利用它来把String转成User对象,如果没有则会找User类中有没有String类型参数的构造方法,如果有则用该构造方法来构造出User对象。
SpringMVC基于注解使用:JSON
kkkkkkkok的博客
09-06 742
01-json处理--介绍 json数据格式回顾: 在pom.xml导入依赖 在web.xml里面导入配置文件 @ResponseBody 注解是将返回值作为文本返回到客户端了而不是字符串了 当我们想返回bean对象的json数据的时候我们需要先导入jackson依赖在pom.xml里面 然后创建User类,然后创建方法在方法上加入@ResponseBody注解 用list存储json数据 处了在方法上加@ResponseBody注解还可以在类上面把@
slf4j依赖冲突处理
wzp1986的专栏
09-11 292
处理spring应用、hive3的日志输出
MVC(Model-View-Controller)和MVVM(Model-View-ViewModel)
qq_34358193的博客
09-08 1009
是一种常用的架构模式,用于分离应用程序的逻辑、数据和展示。它通过三个核心组件(模型、视图和控制器)将应用程序的业务逻辑与用户界面隔离,促进代码的可维护性、可扩展性和模块化。在 MVC 模式中,各组件可以与多种设计模式结合使用,以增强灵活性和可维护性。
编写单元测试
WZX17307935391的博客
09-07 646
编写单元测试,学习并使用JUnit、Mockito测试框架,确保代码的稳定性和可维护性。
架构模式:MVC
一鸣惊人的博客
09-09 1009
MVC 首次将心智模型与数字模型建立联系,同时将代码逻辑进行分层,将「渲染」「控制 / 分发」与数据存储进行有机分隔。此后,在涉及界面展示的编程领域,人们大概率会想到 MVC 的分隔方式并依此实现。因此,MVC 存在各种变种和通信方式,如 Backbone JS 中 View 和 Model 之间可以相互更改;Cocoa MVC 中 View 和 Controller 之间、Controller 和 Model 之间相互更改。
Pytest-@pytest.fixture夹具篇(一)
qq_17496235的博客
09-05 606
在Python的pytest测试框架中,是一个(不是唯一)装饰器,用于定义一个测试夹具。
【车载开发系列】ParaSoft单元测试环境配置(一)
千月星跡
09-08 1141
bdf是数据文件的一种类型,表示一种数据库文件。在ParaSoft当中,可以使用bdf文件来快速创建一个测试项目。
SpringMVC基于注解使用:上传&下载
kkkkkkkok的博客
09-06 500
​。
pytest运行方式及前置后置封装详解
2401_85696278的博客
09-06 626
pytest.fixture(scope="作用域",params="数据驱动",autouse="是否自动执行",ids="自定义参数",name="重命名")一般情况下:@pytest.fixture()会和conftest.py文件一块使用。3.可以都多个conftest.py文件,也可以有不同的层级。--html=./report.html:生成html报告。2.把上面的这段代码之间粘贴到conftest.py文件中。1.目录下之间创建conftest.py文件。2.别的方法函数之间调用装置器。
postman burpsuite
12-18
PostmanBurpSuite都是常用的接口测试工具,其中Postman主要用于接口测试和调试,而BurpSuite则是一款功能强大的Web应用程序安全测试工具。在接口测试中,我们可以通过将Postman的流量代理BurpSuite中来进行更加详细的分析和测试。 具体步骤如下: 1. 打开BurpSuite并启动代理,记录下代理监听的端口号。 2. 打开Postman,单击左上角的File按钮,选择Settings选项。 3. 在Settings中选择Proxy选项,将Proxy Server设置为127.0.0.1,端口号设置为BurpSuite代理监听的端口号。 4. 确认设置后,在Postman中发送请求,此时请求将会被代理BurpSuite中进行分析和测试。 需要注意的是,如果选择BurpSuite代理流量,每一次使用Postman都需要将BurpSuite打开,否则就会找不到代理从而链接请求失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值