本文记录了一次接口测试经历,涉及Fastjson漏洞利用、Burp插件开发以实现数据加密自动化。通过分析Java demo源码,发现Fastjson的安全问题,并利用Inet4Address漏洞进行验证。接着,开发Burp插件,处理加密和签名,同时解决Content-Type导致的自动化测试问题,实现与Xray的联动测试。
前言
之前接到一个接口测试项目,就提供了一个demo源码和接口设计文档,文档里一共有15个接口。
本来以为接口测试,只要把参数拼接上去测测就ok了(数据是json格式),但看到设计文档里说数据又得做签名又得做加密,这样测试就变得繁琐了,扫描器也扫不了。
没加密发送,返回会显示解密失败。
其实是有几种解决方案的,写一个代理服务器,经过的时候做数据加密处理啥的,另一个就是写个burp插件,做请求前的数据自动加密,这个其实用过chunked编码插件的就很容易理解。
在这里我打算选择后者,其实burp本身就是一个代理服务器,所以代理部分就不需要我们操心了,我们只需要解决数据处理部分。
fastjson利用
在干之前还是得先看看demo源码有啥,因为还不清楚具体的签名和加密的细节。
目标系统是基于java开发的,demo当然也是java了,项目是用mvn管理的,IDEA自带mvn,就重新编译打包一下,运行jar包运行的是一个spingboot应用,但demo里并没有提供接口,所以其实没啥用。
最低0.47元/天 解锁文章
扫一扫
332
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
