18个API渗透测试技巧及工具（2025实战手册）从零基础到精通，收藏这篇就够了！

最新推荐文章于 2025-04-24 16:47:46 发布

黑客大白

最新推荐文章于 2025-04-24 16:47:46 发布

阅读量890

点赞数 30

文章标签：网络安全安全系统安全 web安全

本文链接：https://blog.csdn.net/Libra1313/article/details/147427060

版权

API安全，这玩意儿现在简直成了企业的心头大患！微服务、云原生，听起来高大上，背后全是API在撑腰。但别忘了OWASP那份扎眼的报告——75%的API漏洞，说白了就是认证没做好、数据露太多、逻辑太蠢！ 别跟我说你家API没问题，看完这篇，估计你得连夜加班！

一、身份验证：你以为的安全，可能只是皇帝的新装

JWT令牌：别把宝全押在它身上！
- 我呸！ 你还在用弱加密算法？密钥短得像根牙签？有效期压根没设置？等着被爆破吧！
- 工具箱：
  - jwt_tool：爆破密钥？伪造令牌？小菜一碟！(jwt_tool <JWT> -C -d wordlist.txt，拿去不谢！)
  - Burp Suite JWT Editor：想怎么改就怎么改，实时玩转JWT！
- 防御？ 别跟我说你还在用HS256！RS256/ES256才是王道！exp和nbf时间戳？必须安排！
OAuth 2.0授权码：看似安全，实则漏洞百出！
- 套路： 窃取authorization_code？滥用redirect_uri？CSRF伺候！
- 测试：
  - redirect_uri改成我的地盘，看看会不会乖乖跳转？code到手！
  - Postman走一波OAuth流程，state参数呢？丢了？可预测？等着被玩坏吧！
- 工具： OAuth Tester（Burp插件），一键检测配置错误，懒人必备！
API密钥：别让它裸奔！
- 藏身之处： 客户端代码、Git历史、日志文件、公共文档... 密钥这玩意儿，就怕藏不住！
- 武器：
  - TruffleHog：Git仓库里的秘密，统统挖出来！
  - Gitleaks：代码提交？先过我这关！密钥泄露？不存在的！
- 血的教训： 某电商平台，前端JS里塞了个API密钥，结果呢？百万用户数据泄露！别告诉我你没干过这种蠢事！
水平越权（IDOR）：你以为你是谁？
- 简单粗暴： 改改请求里的用户ID、订单号，看看能不能访问别人的资源？能？恭喜你，中奖了！
- 神器： Autorize（Burp插件），自动检测越权漏洞，谁用谁知道！
- 例子： GET /api/user/123/profile 改成 GET /api/user/456/profile，试试？

二、输入验证：别让恶意数据钻了空子！

SQL注入：老生常谈，但防不胜防！
- 高危区： RESTful路径参数、GraphQL查询，都是注入的温床！
- 姿势：
  - 畸形参数伺候：/api/users?id=1'%20OR%201=1--，简单有效！
  - GraphQL骚操作：{user(id:"1' UNION SELECT null,version()--"){name}}，秀起来！
- 大杀器： SQLmap，--level=5，深挖复杂注入点！
NoSQL注入：JSON格式也危险！
- 场景： MongoDB、Redis，JSON传参？小心！
- Payload： {"username": {"$ne": ""}, "password": {"$exists": true}}，试试？
- 工具： NoSQLi（Burp插件），自动生成攻击向量，解放双手！
XXE：XML的噩梦！
- 触发条件： API接收XML，还没禁用外部实体解析？等着被玩坏吧！
- 攻击载荷： <?xml version="1.0"?> <!DOCTYPE data [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <user><name>&xxe;</name></user>，读文件？SSRF？随便玩！
- 神器： XXEinjector，自动化测试，省时省力！
SSRF：服务端请求伪造，防不胜防！
- 重点关注： URL参数、Webhook回调地址、文件导入功能... 都是突破口！
- 技巧：
  - 访问内网服务：http://169.254.169.254/latest/meta-data/，探探底！
  - DNS重绑定，绕过限制，骚操作！
- 工具： SSRFmap，自动化枚举内网资产，事半功倍！

三、业务逻辑：最容易被忽视的漏洞！

批量分配漏洞（Mass Assignment）：别太信任客户端！
- 原理： API没过滤客户端传来的敏感字段？isAdmin=true？直接提权！
- 步骤：
  1. 拦截正常请求，加点料：role=admin！
  2. 重放请求，看看效果？成了？恭喜你，又中奖了！
- 工具： Burp Suite的Match and Replace，自动添加参数，批量操作！
速率限制绕过：防君子不防小人！
- 方法：
  - 改X-Forwarded-For，伪造IP，换个马甲！
  - 不同API密钥、JWT令牌，轮番上阵，刷起来！
- 工具： Wfuzz，并发测试，-t 100 -p 3，线程与延迟，自己调！
CORS配置错误：跨域攻击的温床！
- 检测： Access-Control-Allow-Origin是*？还是可控域名？
- 利用： 构造恶意页面，跨域请求，窃取用户数据！
- 工具： CORS Scanner（Chrome插件），快速识别风险配置，一键扫描！

四、自动化工具：效率至上！

Postman：自动化测试，脚本来帮忙！
- 场景： 验证API响应状态、数据完整性，脚本搞定！
- 示例：
  javascript pm.test("Status code is 200", () => pm.response.to.have.status(200)); pm.test("Response time < 500ms", () => pm.expect(pm.response.responseTime).to.be.below(500));
OWASP ZAP：功能强大，一站式解决！
- 功能： 主动/被动扫描、身份认证爬虫、API Swagger导入...
- 技巧： 导入OpenAPI文档，生成测试用例，覆盖率更高！
APIFuzzer：API专用模糊测试！
- 定位： GraphQL、gRPC，统统支持！
- 策略： 基于语法变异，篡改参数，边界值、异常数据类型，轮番上阵！
Nuclei：模板引擎，漏洞库！
- 优势： 社区模板库，覆盖API漏洞（CVE-2023-1234...）
- 命令： nuclei -t api/ -u https://target.com/api/v1，简单粗暴！

五、云原生安全：新的挑战！

Kubernetes API：别忘了审计！
- 风险： 未鉴权的/api/v1/pods、/apis/extensions/v1beta1...
- 工具： kube-hunter，扫描集群配置缺陷，不放过任何漏洞！
Serverless函数：注入风险！
- 案例： AWS Lambda函数，未校验输入，导致命令执行！
- 测试： 向事件参数注入; whoami，试试？
GraphQL：渗透测试新姿势！
- 工具：
  - GraphQLmap：自动化注入，./graphqlmap.py -u http://api.com/graphql -i
  - InQL Scanner（Burp插件）：可视化分析Schema，一目了然！
- 技巧： 利用__typename，探测内省查询是否开放，暴露信息！