API接口渗透测试_api接口,泄漏服务器版本信息吗

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化的资料的朋友，可以戳这里获取

2.1 Web Service 测试

2.1.1 找 Webservice 接口

Google hacking

• inurl:jws?wsdl
• inurl:asmx?wsdl
• inurl:aspx?wsdl
• inurl:ascx?wsdl
• inurl:ashx?wsdl
• inurl:dll?wsdl
• inurl:exe?wsdl
• inurl:php?wsdl
• inurl:pl?wsdl
• inurl:?wsdl
• filetype:jws
• filetype:asmx
• filetype:ascx
• filetype:aspx
• filetype:ashx
• filetype:dll
• filetype:exe
• filetype:php
• filetype:pl
• filetype:wsdl wsdl

fuzzing

爬虫

2.1.2 测试工具

涉及主要工具：

• Soap UI PRO，渗透测试流程的发起，通信报文的解析、集合payload之后通信报文的重新组装等，14天试用，可以做自动化测试。
• SoapUI Free，手工测试
• SOAPSonar，SOAP UI 的替代。
• Burp Suite，代理拦截，跟踪通信过程和结果，对通信进行重放和二次处理等。
• WSSAT
• WS-Attacker

2.1.3 测试项目

• Fuzzing
• XSS /SQLi/ Malformed XML
• File Upload
• Xpath Injection
• XML Bomb (DoS)
• Authentication based attacks
• Replay attacks
• Session fixation
• XML Signature wrapping
• Session timeout
• Host Cipher Support/ Valid Certificate/ Protocol Support
• Hashing Algorithm Support

2.1.4 手工测试方法

主要使用 Soap UI Open Source，有安全测试Case，需要配置 SOAP 代理到 Burp，数据流，现在的版本是5.4.0。

代理配置

可以用 Burp 重放 SOAP 的探测 Payload。
使用 Soap UI Open Source，测试步骤：

• 创建工作空间
• 新建 SOAP 项目
• 增加 WSDL，配置名称和 WSDL 链接
• 选择要测试的 TestSuite，增加一个安全测试

2.1.5 自动化测试

SOAP 配置，2步，“File”-“Preference”-“Proxy”，设置 Burp 代理

直接在 Soup UI 主菜单上选择运行一个测试。

在弹出窗口中输入 WSDL 地址。

SUAP UI 会自动探测接口。然后在项目-测试Case的右键菜单中选择安全测试

运行安全测试。

Burp 代理会捕获所有的测试请求

其他工具介绍

WSSAT，选择加载存在 WSDL 列表的文件，运行。

WS-Attacker

AWVS 的扫描也能直接测试 Web Service

2.2 RESTful API 测试

2.2.1 测试工具

常见的浏览器插件

• Chrome Restlet Client

• Firefox RESTClient

客户端工具

• Postman

• Swagger

通常使用 Postman 的情况多些，有机会的话问下开发如何配置测试环境，直接配置一套一样的。

Postman 的代理配置：

3 常见 API 相关漏洞和测试方法

还是主要以 Restful API 说明。

3.1 逻辑越权类

本质上可以说是不安全的直接对象引用，可以通过修改可猜测的参数获取不同参数下的响应结果。参数可以是用户名、用户 ID，连续的数字，变形的连续数字（各种编码或哈希），通过直接修改参数值完成越权的操作。

示例：

• https://wooyun.shuimugan.com/bug/view?bug_no=189225
• https://wooyun.shuimugan.com/bug/view?bug_no=150462
• https://wooyun.shuimugan.com/bug/view?bug_no=140374
• https://wooyun.shuimugan.com/bug/view?bug_no=106709

3.2 输入控制类

XXE，Restful API 的注入漏洞，XSS，溢出，特殊字符的处理。

示例：

• https://wooyun.shuimugan.com/bug/view?bug_no=211103
• https://wooyun.shuimugan.com/bug/view?bug_no=132270
• https://wooyun.shuimugan.com/bug/view?bug_no=8714

3.3 接口滥用

没有请求频率限制导致的各种爆破和遍历，如短信验证码爆破、登录爆破、手机号遍历、身份证遍历等。

示例：

• https://wooyun.shuimugan.com/bug/view?bug_no=141419
• https://wooyun.shuimugan.com/bug/view?bug_no=66571
• https://wooyun.shuimugan.com/bug/view?bug_no=36058
• https://wooyun.shuimugan.com/bug/view?bug_no=147334

3.4 信息泄露

包括越权导致的信息泄露、畸形请求导致的报错响应。

示例：

• https://wooyun.shuimugan.com/bug/view?bug_no=171313
• https://wooyun.shuimugan.com/bug/view?bug_no=160095
• https://wooyun.shuimugan.com/bug/view?bug_no=127457

3.5 HTTP 响应头控制

关于响应头：

• 发送 X-Content-Type-Options: nosniff 头。
• 发送 X-Frame-Options: deny 头。
• 发送 Content-Security-Policy: default-src ‘none’ 头。
• 删除指纹头 - X-Powered-By, Server, X-AspNet-Version 等等。
• 在响应中强制使用 content-type。

3.6 服务端配置漏洞

如服务端版本信息泄露，或服务端程序本身存在漏洞等。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化的资料的朋友，可以戳这里获取

-1715725005281)]
[外链图片转存中…(img-VnBs2lna-1715725005281)]
[外链图片转存中…(img-glHvnGHR-1715725005282)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化的资料的朋友，可以戳这里获取