API接口安全测试方法大全(附一键化扫描工具)

已于 2024-01-05 16:42:35 修改
阅读量4.9k 收藏 11
点赞数 1
分类专栏: web安全 黑客 网络安全 文章标签: 安全 web安全 网络
于 2023-06-27 10:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_76672693/article/details/131393616
版权
网络安全 同时被 3 个专栏收录
374 篇文章 2 订阅
订阅专栏
黑客
199 篇文章 2 订阅
订阅专栏
web安全
87 篇文章 0 订阅
订阅专栏
本文介绍了API接口的安全隐患,包括WebService的Wsdl接口和SOAP协议中的各种安全漏洞,如SQL注入、XSS攻击等。同时,提到了Swagger接口的测试类型,如接口越权和SQL注入。另外,还讨论了HTTP类Webpack的漏洞检测。文章提供了相关工具,如SoapUIPro和Packer-Fuzzer,并强调了学习网络安全技术的重要性。
摘要由CSDN通过智能技术生成

前言

0x00 api接口介绍

通常在网站的通讯中,很多会调用api接口去方便更多信息的管理与调用,但是当使用某些api时,在开发人员未对api接口做出访问策略限制或其他的加固,会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露,或者其他的sql注入等等安全问题,本文介绍三种api的利用与发现

【----帮助网安学习,以下所有学习资料文末免费领!----】

0x01 WebService类-Wsdl接口测试

在WebService的开发,特别是和第三方有接口的时候,走的是SOAP协议,然后会有WSDL文件(或网址),这时候可以对wsdl文件进行相关的测似,敏感信息等等。

wsdl指纹探测:“?wsdl”

图片

该api接口的安全问题有以下类型:


Web 应用安全漏洞:
   sql注入
   xss攻击
   命令执行
   越权
   LDAP注入
   缓冲区溢出
   逻辑漏洞
   等等

XML 相关的特殊安全漏洞:
   XPath注入
   XQuery注入
   拒绝服务攻击(SOAP 数组溢出、递归的 XML 实体声明、超大消息体)
   信息泄漏(XML External Entity File Disclosure)
   等等

在api的接口里面也可以看到一些信息调用的查询,这里就会参数敏感信息泄露的问题,这个通常可以工具结合是手工去测试发现

图片

图片

对于这些地方都可以进行注入,查询信息等的测试,
工具测试:SoapUI Pro+burp
指纹:“?wsdl” && “edu” && country=“CN”

0x02 SOAP类-Swagger接口测试

Swagger 的目标是对 REST API 定义一个标准且和语言无关的接口,可以让人和计算机拥有无须访问源码、文档或网络流量监测就可以发现和理解服务的能力。当通过 Swagger 进行正确定义,用户可以理解远程服务并使用最少实现逻辑与远程服务进行交互。与为底层编程所实现的接口类似,Swagger 消除了调用服务时可能会有的猜测。

在对目标信息收集可以验证一下是否存在Swagger接口,以下是特征的目录指纹:


/swagger/
/api/swagger/
/swagger/ui/
/api/swagger/ui/
/swagger-ui.html
/api/swagger-ui.html
/user/swagger-ui.html
/swagger/ui/
/api/swagger/ui/
/libs/swaggerui/
/api/swaggerui/
/swagger-resources/configuration/ui/
/swagger-resources/configuration/security/


Swagger接口漏洞测试类型
接口越权
接口SQL注入(针对所有查询接口)
接口未授权访问(重点针对管理员模块,如对用户的增删改查)
任意文件上传(针对上传接口进行测试)
测试信息泄露(重点针对用户、订单等信息查询接口,以及一些测试数据等)

可能存在文件上传的swagger接口

图片

有存在数据查询的地方也可以测试注入等

工具测试:
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack

图片

测试完后可以查看测试结果返回200,是否存在敏感信息

图片

0x03 HTTP类-Webpack测试

webpack是一个前端的模块化打包(构建)的工具
webpack将一切繁杂的、重复的、机械的工作自动处理,开发者只需要关注于功能的实现的
指纹:使用wapplyzer帮助识别

图片

js指纹:

图片

Webpack漏洞的检测,
工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。

Packer-Fuzzer:https://github.com/rtcatc/Packer-Fuzzer

python3 PackerFuzzer.py -t adv -u http://chargepoint.com

- END -

拿下NISP-SO网络安全证书之后,身为普通的你可以:

跨越90%企业的招聘硬门槛

增加70%就业机会

拿下BAT全国TOP100大厂敲门砖

体系化得到网络技术硬实力

IE大佬年薪可达30w+

如何入门学习网络安全【黑客】

【----帮助网安学习,以下所有学习资料文末免费领!----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)

大纲

首先要找一份详细的大纲。

img

学习教程

第一阶段:零基础入门系列教程

img

该阶段学完即可年薪15w+

第二阶段:技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

img

阶段三:高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

CTF比赛视频+题库+答案汇总

img

实战训练营

img

面试刷题

img

最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。

但是,我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”,其实是“无法开始”。

几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要

资料领取

上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
点此链接】领取

网安学习
关注
专栏目录
ApiTesting全链路接口自动测试框架
ms_test的博客
10-25 2005
此框架是基于。
天穹-Api接口自动管理系列1:MiApi- 整体介绍
天穹云原生
01-31 313
市面上第一款集成了多类型 RPC 接口自动管理、自动文档生成、接口测试、mock、团队文档等功能模块的一站式平台。重新定义了微服务接口的开发交付流程,致力于提供最好的接口治理服务,更大程度提高开发效率。
APIKit:一站式API发现、扫描与审计工具
最新发布
gitblog_00560的博客
08-09 505
APIKit:一站式API发现、扫描与审计工具 APIKitAPIKit:Discovery, Scan and Audit APIs Toolkit All In One.项目地址:https://gitcode.com/gh_mirrors/api/APIKit 项目介绍 在数字转型的浪潮中,API已成为企业间数据交互的桥梁。然而,随着API的广泛应用,其安全性问题也日益凸显。APIKit...
一款API漏洞扫描工具
公众号:乌云安全
02-11 302
端点,并具有独特的智能功能来检测误报。对于从事 API 测试和漏洞扫描安全专业人员和开发人员来说特别有用。APIDetector 是一款强大而高效的工具,旨在测试各个子域中公开的。多个协议:通过 HTTP 和 HTTPS 测试端点的选项。详细和安静模式:详细日志的默认详细模式,以及安静模式选项。可定制的输出:将结果保存到文件或打印到标准输出。自定义用户代理:能够为请求指定自定义用户代理。智能误报检测:能够检测大多数误报。并发:利用多线程来加快扫描速度。灵活输入:接受文件中的单个域或。
wsdigger(service接口扫描工具
09-21
wsdigger,一款非常好用的service接口安全扫描工具,已确认可以正常使用。不用注册,就可以使用。操作也非常简单。
API 安全测试(偏渗透测试)
hide_in_darkness的博客
06-05 1959
API,全称为Application Programming Interface(应用程序编程接口),是一套预先定义的函数、协议和工具的集合,用于构建软件应用。API定义了软件组件之间如何相互通信,它允许不同的软件系统之间进行交互,而无需开发者了解这些系统的具体实现细节。随着数字转型的深入,API产品的价值日益增高,特别是与微服务、DevOps等技术的融合,使得API成为企业战略发展加速的利器。​ 我们以家庭宽带异常作为例子更加形象的向大家介绍一下 API
API安全测试方法
weixin_45437959的博客
08-03 1622
API安全测试
API接口测试
山兔的博客
03-06 225
API接口渗透测试是通过用渗透测试的方法测试系统组件间接口的一种测试。接口渗透测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。测试的重点是要检查数据的交换,传递和控制管理过程,以及系统间的相互逻辑依赖关系等。接口测试分为web service和API接口测试,WebSocket接口等测试。
【ARUN】FastAPI&Vue 拥有无敌颜值且易用的全栈测试平台 第三弹——测试追踪
weixin_42686892的博客
01-18 3283
前言 我又又又来分享啦!!之前分享的接口测试不仅局限于普通的 http 接口,dubbo/开放平台接口通过深度定制已完美集成~ ​接口、UI 任务已作为上线流程中重要的一环,并具有发现异常问题的能力~ 测试追踪 模块主要分测试用例、用例评审、用例计划、需求管理、缺陷管理、迭代管理、以及测试报告,用例的书写以模块/迭代为维度,同时可以存在于不同的评审/计划中并做一个数据隔离,最后在迭代结束后,作为迭代用例可一键 merge 到用例池中,作为标准产品用例沉淀,内容太多简单分享一些我认为有
本地进行API接口测试
06-30
在本地整一个简易的API测试页面,提交数据之后在本地实现API请求测试功能.
119-记一次因API接口问题导致目标内网沦陷.pdf
09-20
本文详细记录了一次由API接口问题导致的内网沦陷事件,文章详细描述了整个渗透测试的过程以及发现和利用漏洞的方式。从文中可以提炼出以下知识点: 1. 信息收集:文章开头描述了进行网络资产信息收集的重要性。测试...
⚡OWASF 十大 API 安全问题盘点
weixin_47077674的博客
05-10 1016
OWASP 是一个致力于提升 Web 应用程序安全的国际非营利组织,其核心原则之一是公开、免费地提供所有相关资料,方便大众在其官方网站上轻松查阅,助力任何人提升 Web 应用程序的安全性。该组织提供的资料涵盖文档、工具、视频以及论坛等多种形式,其中,最为人所熟知的项目当属 OWASP Top 10。
基于Http类Api端口(WebPack)漏洞扫描工具--PackerFuzzer教程
SSDOK1O2的博客
10-29 1075
工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。环境(不推荐其他JS运行环境,可能会导致解析失败)。本工具使用Python3语言开发,在运行本工具之前请确保您装有。在命令框中输入以下命令,即可解决。代码,故我们推荐您安装。
API安全-扫描器实战
why811的博客
07-25 955
向/graphql路径发请求,请求格式类似json但是非json,并非key value对应。
API接口测试中需要注意的地方
whaxrl的专栏
03-11 4222
 1、检查接口返回的数据是否与预期结果一致。 2、检查接口的容错性,假如传递数据的类型错误时是否可以处理。例如是支持整数,传递的是小数或字符串呢? 3、接口参数的边界值。例如,传递的参数足够大或为负数时,接口是否可以正常处理。 4、接口的性能,接口处理数据的时间也是测试的一个方法。牵扯到内部就是算法与代码的优。 5、接口安全性,如果是外部接口的话,
由一次安全扫描引发的思考:如何保障 API 接口安全性?
极客挖掘机
05-27 769
引言 前段时间,公司对运行的系统进行了一次安全扫描,使用的工具是 IBM 公司提供的 AppScan 。 这个正所谓不扫不要紧,一扫吓一跳,结果就扫出来这么个问题。 我们的一个年老失修的内部系统,在登录的时候,被扫描出来安全隐患,具体学名是啥记不清了,大致就是我们在发送登录请求的时候,有个字段名是 password , AppScan 认为这个是不安全的,大概就是下面: 我第一个反应是把这个字段名字改一下,毕竟能简单解决就简单解决嘛,结果当然是啪啪啪打脸。 这个名字我不管是换成 aaa 还是 bbb ,.
API测试-接口测试基础(1)
heyingxin006的博客
05-09 8076
由于自己想学习API方面的测试,但是市面上搜不到相关的图书可以系统学习,网上的内容又零零散散,适合有点API开发基础的人去搜索。为了方面新手学习API测试,现在整理了他人的宝贵经验和自己的学习心得,尽量在一篇文章中囊括API测试前需要了解的API基础知识。 接口测试基础 1.什么是接口? 2.接口类型 3.接口本质 4.什么是接口测试? 5.为什么做接口测试? 6.怎样做接口测试? ...
API接口测试工具推荐
03-29
以下是一些常用的API接口测试工具推荐: 1. Postman:是一款非常流行的API测试工具,具有直观的用户界面和丰富的功能,支持多种协议和请求方法,可以轻松创建和管理API测试套件。 2. Swagger:是一款开源的API设计和测试工具,可以帮助开发人员快速创建和测试API文档,支持多种编程语言和框架。 3. SoapUI:是一款专业的API测试工具,支持SOAP和REST协议,可以进行功能测试、性能测试和安全测试等。 4. JMeter:是一款功能强大的性能测试工具,也可以用于API接口测试,支持多种协议和请求方法。 5. Karate:是一个开源的API测试框架,基于Cucumber和JUnit,可以帮助开发人员快速创建和管理API测试套件,支持多种请求方法和数据格式。 6. Rest-Assured:是一个Java库,可以帮助开发人员编写简洁、易读的API测试代码,支持多种请求方法和数据格式。 7. HttpMaster:是一款轻量级的API测试工具,可以帮助开发人员快速创建和执行API测试用例,支持多种协议和请求方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值