接口安全-攻防

已于 2024-01-14 23:51:55 修改
阅读量40 收藏
点赞数
文章标签: 数据库
于 2023-11-21 20:29:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_76217918/article/details/134517466
版权

ce79afe22e234e18b58ba20bbe5caf4d.png

wsdl接口安全:

发现:通过网站爬虫:awvs爬虫,xray爬虫爬出来的wsdl的目录

批量搜索:inurl:asmx?wsdl

里面通常有很多提交信息的地方,可以看看返回信息。但是太多了,手工测试不现实,需要利用工具

利用方式:工具:readyapi(自动化漏扫工具)和 soapui(手工测试工具)

2e4a97f056744db1b78ac1d482513f55.png

47003a9d73cc41ebb38f03920b0b92ee.png

1cddd367e3d745e6a1c9a80b514dcdb3.png

0fe7b8cb394e4ffc8948ffb5d4e805d0.png

caf355cfd2fb44b198cf5cc9413e001b.png

完事之后直接看报告就行

swagger接口安全:

常见的接口组件,方便管理人员调试接口。但是会暴露参数请求的地址和参数,存在安全问题:是否存在sql注入?是否存在未授权访问,存在越权?

发现:目录扫描有swagger目录或文件,或是js信息中有swagger字样。

下面是启用swagger的常见目录

加载的Js文件有swagger关键字

利用:

手工:apikit插件可以辅助探测是否存在swagger 组件。在里面提交不同的值看是否存在安全问题

swagger其实就是一个第三方的接口调试工具,方便开封人员进行接口调试。找到swagger页面后,复制json文件地址到工具进行测试

工具:自动化工具: swagger-hack          手工测试工具:soapui

直接输入命令(需要json文件!!!!!!!ab5fe4962c5f48719574f3e20c21bef6.png

在当前目录会生成一个表格文件里面看响应是200的

里面响应成功的很可能有问题

webpack接口安全:

webpack是一款js开发网站的打包器:

发现:wallzer信息收集工具发现使用了webpack,也可以在加载的js信息探针到是webpack

利用:

手工:直接搜js文件里url或post或get获取一些地址

工具:packerfuzzer  会自动分析Js文件看是否存在安全问题

python pckerfuzzer.py -u http://test.com

向日葵武士_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API攻防-接口安全&WebPack&REST&SOAP&WSDL&WebService
m0_61506558的博客
12-22 618
简单对象访问协议是交换数据的一种协议规范,是一种轻量的、简单的、基于XML(标准通用标记语言下的一个子集)的协议,它被设计成在WEB上交换结构化的和固化的信息。SOAP不是WebService的专有协议。 SOAP使用HTTP来发送XML格式的数据,可以简单理解为:SOAP=HTTP+XML
Android安全攻防指南_攻击RIL无线接口层_编程案例解析实例详解课程教程.pdf
05-05
无线接口层(Radio Interface Layer)简称 RIL,是 Android 平台中负责移动通信的核心组件。它为蜂窝调制解调器(cellular modem)提供接口,借助...阅读本章之后,你将拥有足够的知识对 Android 的 RIL 进行安全测试。
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
今天是几号的博客
10-09 1955
接口是后端设计的一套供给第三方使用的方法举个例子,fofa提供了第三方api接口来进行调用,使用查询语法获取资产目标资产信息输入相关参数进行调用API安全就是围绕着这一个接口进行的,可能存在的漏洞包括:SQL注入、身份验证、信息泄漏、XSS跨站等。
web--安全攻防1-信息收集
dremcl的博客
05-07 421
信息收集 域名介绍 域名是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标记计算机的电子方位,浏览网站过程:从DNS服务器获得指定域名对应的IP地址 Whois Whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(比如域名所有人、域名注册商) 不同域名后缀的whois信息需要不同的whois数据库查询。如com的whois数据库...
Web应用安全--攻防对抗发展趋势
weixin_33889665的博客
07-03 677
Struts2 S2-032让安全的江湖又掀起了一阵腥风血雨,很多网站纷纷中招,被黑客入侵造成了各种重大损失。从历史 Struts2 漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、银行、证券、保险等行业,这次也不例外。网站的Web安全一直是一个大众密切关注的方向,接下来我们聊聊这个话题。 超过半数的网站Web应用数据遭受泄露、造成重大财务损失; 企...
接口安全道亦有道.pdf
08-08
互联网+时代,面对众多业务应用、微服务以及小程序的接口的形态,有哪些Geek点,本议题为业务接口安全方向进一步攻防探索实践。 目录 接口安全必要性 最近流行的案例 接口定义及分类 各技术形态案例 自动定位接口...
Android_WebView安全攻防指南2020.pdf
08-11
为此,本次峰会上,何恩基于自身漏洞挖掘所积累的丰富案例,对WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等典型漏洞案例进行了介绍和分析。通过本演讲,开发者能了解到Android WebView最新的...
burpsuite安全工具
06-19
网络安全攻防必备工具,Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久...
信息安全_陈平.多角度互联网金融攻防.pptx
08-14
- 什么是互联网金融 - 互联网金融会遇到哪些...- 薅羊毛 + 对机器人注册,可以通过频率进行拦截 + 加强注册接口(验证码),注册规则加强一个身份证一个号 + 延长提现时间,增加提现难度(比如充值后才能提现)
数据库SQL编写规范-SQL书写规范整理(SQL语句书写规范全解-Word原件)
xx_123321456的博客
05-14 306
​​​​​​工作安排任务书,可行性分析报告,立项申请审批表,产品需求规格说明书,需求调研计划,用户需求调查单,用户需求说明书,概要设计说明书,技术解决方案,数据库设计说明书,详细设计说明书,单元测试报告,总体测试计划,单元测试计划,产品集成计划,集成测试报告,集成测试计划,系统测试报告,产品交接验收单,验收报告,验收测试报告,压力测试报告,项目总结报告,立项结项审批表,成本估算表,项目计划,项目周报月报,风险管理计划,质量保证措施,项目甘特图,项目管理工具,操作手册,接口设计文档,软件实施方案,运维方案,安
mysql事务(原理)
最新发布
m0_74347016的博客
05-19 578
mysql事务原理
python学习-使用pandas库分析excel表,并导出所需的表
SixSix的自留地
05-16 258
使用pandas库分析excel表中多个子表的数据
centos 使用docker安装mysql
weixin_39703677的博客
05-18 396
1. 这是mysql 8.0 默认的身份验证方式, 旧版本的mysql客户端库或连接工具不支持。在这里,3306:3306表示宿主机的3306端口被映射到容器的3306端口。以上步骤将会启动一个新的MySQL容器,您可以通过Docker命令与之交互。或者换最新版mysql客户端工具 mysql workbench。拉取mysql 官方docker镜像。
Spring-Cloud 微服务
weixin_65127444的博客
05-15 908
先来思考一个问题*通过上一章的操作,我们已经可以实现微服务之间的调用。但是我们把服务提供者的网络地址(ip,端口)等硬编码到了代码中,这种做法存在许多问题:1.一旦服务提供者地址变化,就需要手工修改代码2. 一旦是多个服务提供者,无法实现负载均衡功能3.一旦服务变得越来越多,人工维护调用关系困难那么应该怎么解决呢,这时候就需要通过注册中心动态的实现。
实战项目技术点(1)
qq_60396437的博客
05-15 1154
分页插件PageHelper 是 Mybatis 的一款功能强大、方便易用的分页插件,支持任何形式的单标、多表的分页查询。官网:https://pagehelper.github.io/。文件上传,是指将本地图片、视频、音频等文件上传到服务器,供其他用户浏览或下载的过程。
生产报表工具PI DataLInk 与 行列视之间的区别
2401_83701843的博客
05-17 252
行列视,全名“行列视生产数据应用系统”,行列视品牌所面对的业务范围远远超越了PIDatalink报表工具,他首先是一款本地部署的在线Excel文档管理系统,解决个人报表在线管理问题,其次,她和PIDataLInk一样,也是面向实时数据库报表需求的一套工具,其区别在于行列视品牌兼容国内外大多数实时数据库,也可以同时连接多个数据源,也就是她完全可以替代PI-DataLINk,同时也适用于其他品牌下的实时数据库系统;
MySQL存储过程添加二十万条数据日常练习
mi_mx的博客
05-17 308
【代码】MySQL日常练习。
MongoDB聚合运算符:$zip
superatom01的博客
05-15 361
摘要:`$zip`用于将输入数组的元素重新组合转换为新的数组,重组转换的的规则是使用输入数组的第一个元素重组为第一个数组,使用第二个元素重组为第二个数组,以此类推。
python安全攻防
09-01
引用中提到了Python的用途,引用中提到了Python的前景,但是没有提到Python的安全攻防方面。对于Python的安全攻防,Python本身并不具备特定的安全机制,它更多地被用于开发安全工具和应用程序。以下是一些与Python...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值