API测试(一):PortSwigger靶场笔记

已于 2024-07-14 01:43:40 修改
阅读量209 收藏 2
点赞数 9
文章标签: 笔记 网络安全 web安全
于 2024-07-14 01:27:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaaadoga/article/details/140409525
版权

写在前面

这篇文章是关于作者在学习PortSwigger的API Test类型漏洞时的记录和学习笔记
使用到的工具为Burp Suite Pro

漏洞简介

什么是api

API全称为Application Interface,是应用程序对外提供功能的接口,现在主要有三种api风格,分别是JSON风格的api,RESTful风格的api以及Graphic风格的api

JSON风格

请求获取用户信息

POST /api/getUser HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "userId": 1
}
RESTful风格

请求获取用户信息

GET /api/users/1 HTTP/1.1
Host: example.com

请求修改用户信息

POST /api/users HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "name": "Jane Doe",
  "email": "jane.doe@example.com"
}
Graphic风格

请求获取用户信息

POST /graphql HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "query": "{ user(id: 1) { id, name, email } }"
}

API测试是什么

API测试这种漏洞主要包含了对开放api期望运行逻辑的破坏以及对未开放的api的检测和调用,导致的危害可能有敏感信息泄露,应用行为被改变等
这篇文章主要讨论JSON和RESTful APIs
当你在测试一个api的时候,关注下面这些点:

  • api接收并处理的数据,包括必需的和可选的
  • api接受的请求类型,包括请求方法和media formats
  • 速率限制和认证机制

和api交互

使用不同的请求方法

HTTP1.0定义了三种请求方法: GET、POST、HEAD

  • GET方法请求一个指定资源的表示形式,使用 GET的请求应该只被用于获取数据。
  • HEAD方法请求一个与 GET请求的响应相同的响应,但没有响应体。
  • POST方法用于将实体提交到指定的资源,通常导致在服务器上的状态变化或副作用。
    HTTP1.1新增了六种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNECT、PATCH
  • OPTIONS方法用于描述目标资源的通信选项。
  • PUT方法用有效载荷请求替换目标资源的所有当前表示。
  • DELETE方法删除指定的资源。
  • TRACE方法沿着到目标资源的路径执行一个消息环回测试。
  • CONNECT方法建立一个到由目标资源标识的服务器的隧道。
  • PATCH方法用于对资源应用部分修改。
使用不同的Content-Type

以下是最常使用的10种Content-Type
application/json

  • 用途:用于 JSON 格式的数据传输,常用于 RESTful API。
    text/html
  • 用途:用于 HTML 格式的数据传输,常用于 Web 页面响应。
    application/x-www-form-urlencoded
  • 用途:用于 HTML 表单提交的编码方式,将表单数据编码为键值对。
    multipart/form-data
  • 用途:用于文件上传表单的编码方式,允许同时上传文件和其他数据。
    text/plain
  • 用途:用于纯文本数据传输,没有特殊的格式化要求。
    application/xml
  • 用途:用于 XML 格式的数据传输。
    application/javascript
  • 用途:用于传输 JavaScript 代码。
    application/octet-stream
  • 用途:用于传输二进制数据,不指定特定的文件格式,通常用于文件下载。
    image/jpeg
  • 用途:用于传输 JPEG 格式的图像文件。
    image/png
  • 用途:用于传输 PNG 格式的图像文件。

Labs

lab1

lab地址:Exploiting an API endpoint using documentation
这个lab是最基础的,通关条件是删除用户carlos的账户
登陆网站,尝试发现的所有功能,然后观察burpsuite的HTTP History,发现一个方法为PATCH的请求,api端点为/api/user/wiener,直接尝试修改http请求方法为delete,对用户carlos进行请求
l1-s1.png
l1-s2.png

lab2

lab地址:Exploiting server-side parameter pollution in a query string
这一个lab关注的点是请求字符串中的参数污染,通关条件是登陆administrator的账户,删除carlos账户
惯例先进行所有的操作,观察burpsuite的http history
将/fogot-password的post请求发送到repeater研究
l2-s1.png
l2-s2.png
l2-s3.png
将请求发送到intruder模块对field参数的值进行爆破
l2-s4.png
爆破显示正确的结果
l2-s5.png
将field的值设置为email发送原post请求,发现响应和没有设置field一样,再去http history查看有没有其他可能的值
发现GET /static/js/forgotPassword.js,js文件内容如下

let forgotPwdReady = (callback) => {
    if (document.readyState !== "loading") callback();
    else document.addEventListener("DOMContentLoaded", callback);
}

function urlencodeFormData(fd){
    let s = '';
    function encode(s){ return encodeURIComponent(s).replace(/%20/g,'+'); }
    for(let pair of fd.entries()){
        if(typeof pair[1]=='string'){
            s += (s?'&':'') + encode(pair[0])+'='+encode(pair[1]);
        }
    }
    return s;
}

const validateInputsAndCreateMsg = () => {
    try {
        const forgotPasswordError = document.getElementById("forgot-password-error");
        forgotPasswordError.textContent = "";
        const forgotPasswordForm = document.getElementById("forgot-password-form");
        const usernameInput = document.getElementsByName("username").item(0);
        if (usernameInput && !usernameInput.checkValidity()) {
            usernameInput.reportValidity();
            return;
        }
        const formData = new FormData(forgotPasswordForm);
        const config = {
            method: "POST",
            headers: {
                "Content-Type": "x-www-form-urlencoded",
            },
            body: urlencodeFormData(formData)
        };
        fetch(window.location.pathname, config)
            .then(response => response.json())
            .then(jsonResponse => {
                if (!jsonResponse.hasOwnProperty("result"))
                {
                    forgotPasswordError.textContent = "Invalid username";
                }
                else
                {
                    forgotPasswordError.textContent = `Please check your email: "${jsonResponse.result}"`;
                    forgotPasswordForm.className = "";
                    forgotPasswordForm.style.display = "none";
                }
            })
            .catch(err => {
                forgotPasswordError.textContent = "Invalid username";
            });
    } catch (error) {
        console.error("Unexpected Error:", error);
    }
}

const displayMsg = (e) => {
    e.preventDefault();
    validateInputsAndCreateMsg(e);
};

forgotPwdReady(() => {
    const queryString = window.location.search;
    const urlParams = new URLSearchParams(queryString);
    const resetToken = urlParams.get('reset-token');
    if (resetToken)
    {
        window.location.href = `/forgot-password?reset_token=${resetToken}`;
    }
    else
    {
        const forgotPasswordBtn = document.getElementById("forgot-password-btn");
        forgotPasswordBtn.addEventListener("click", displayMsg);
    }
});

最关键的一段代码是:

forgotPwdReady(() => {
    const queryString = window.location.search;
    const urlParams = new URLSearchParams(queryString);
    const resetToken = urlParams.get('reset-token');
    if (resetToken)
    {
        window.location.href = `/forgot-password?reset_token=${resetToken}`;
    }
    else
    {
        const forgotPasswordBtn = document.getElementById("forgot-password-btn");
        forgotPasswordBtn.addEventListener("click", displayMsg);
    }
});

代码中涉及一个参数reset_token,尝试将field这只为reset_token,发现响应变化了
l2-s6.png
根据/forgot-password?reset_token=${resetToken},重新构建get请求
l2-s7.png
然后就是设置新密码,删除carlos账户

lab3

lab地址:Finding and exploiting an unused API endpoint
这个lab关注的点是发现和测试未使用的api端点,通关条件是购买一件商品
进去先尝试所有功能,发现无法充值,余额为0,我的思路是将商品价格修改或绕过付款流程
观察brupsuite的http history,发现:GET /api/products/1/price HTTP/2,发送到repeater研究
先修改http方法为OPTION,发现允许get和patch方法
l3-s1.png
构建patch方法的请求
l3-s2.png
构造指定格式的数据,数据是猜测的,但是比较好猜
l3-s3.png
之后就可以零元购,通关了

lab4

lab地址:Exploiting a mass assignment vulnerability
这个lab关注批量赋值漏洞,通关条件是购买一件商品,还是之前的思路
按惯例先尝试所有功能,然后查看burpsuite的http history
发现两个有意思的请求:POST /api/checkout HTTP/2GET /api/checkout HTTP/2
点击付款按钮时会先发送POST请求,数据为购买的商品的列表,包括商品id和数量

{"chosen_products":[{"product_id":"1","quantity":1}]}

GET请求则会返回该次交易的相关信息,如下图:
l4-s1.png
第一个尝试还是先修改商品的价格,发现没有成功
l4-s2.png
然后修改代表折扣的字段,发送请求后就直接成功购买了
l4-s3.png

lab5

lab地址:Exploiting server-side parameter pollution in a REST URL
这个lab和lab2的思路是一样的,关注的重点在改变服务端请求的行为,但是多了许多防御措施,需要更多技巧结合,通关条件和lab2一样
先使用lab2用过的测试技巧,测试后推测服务端请求可能把username内容放在url的路径部分
l5-e1.png
l5-e2.png
l5-e3.png
构造username为:./administrator
l5-s1.png
l5-s2.png
读取配置文件,发现url路径:/api/api/internal/v1/users/{username}/field/{field}
l5-s3.png
将username参数改为administrator/field/x%23,试图重写field
l5-s4.png
同lab2一样,查看GET /static/js/forgotPassword.js
l5-i1.png
构造username为:administrator/field/passwordResetToken%23
l5-s5.png
通过路径遍历进行指定版本
l5-s6.png
构造get请求发送
l5-s8.png
然后修改密码,删除carlos账户,通关

如何防御API导致的漏洞

首先,最好从开始设计系统时就考虑安全因素
其次,最好遵守下列准则

  • 如果不想你的api被公开地访问,保管好你的文档
  • 确保你的文档足够全面,允许合法测试人员收集全面的攻击面
  • 设置允许接受的http方法
  • 验证收到的请求或响应是期望的格式
  • 使用普遍的报错信息以避免泄露有价值的信息
  • 对所有版本的api设置防御措施,而不仅仅是当前主要版本
  • 将用户可以修改的属性列入白名单,用户不能修改的敏感属性列入黑名单
h4ckb0ss
关注
  • 9
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buby:PortSwigger Burp Suite 的 BurpExtender 接口的 JRuby 实现
06-08
说明: Buby 是 JRuby 与 PortSwigger 流行的商业 Web 安全测试工具 Burp Suite 的混搭。 Burp 由使用 BurpExtender API 的 Java 扩展或使用新的嵌入式 JRuby 支持的 JRuby BurpExtender 实现驱动并绑定到 JRuby。 ...
大黑客养成系列:Top10漏洞利用方式、靶场通关笔记、好用工具分享、漏洞挖掘技巧、安全研究、前沿技术探索.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
路径遍历(一):PortSwigger靶场通关笔记
最新发布
aaaadoga的博客
07-12 494
一篇关于路径遍历portswigger靶场笔记
协议层安全相关《http请求走私与CTF利用》
蚁景网安学院
05-24 1093
 0x00前言  最近刷题的时候多次遇到HTTP请求走私相关的题目,但之前都没怎么接触到相关的知识点,只是在GKCTF2021--hackme中使用到了CVE-2019-20372(Nginx<1.17.7 请求走私漏洞),具体讲就是通过nginx的走私漏洞访问到Weblogic Console的登录页面,然后打Weblogic历史漏洞读取flag。当时做那道题的时候对走私漏洞没有深入理解,今天打ISCC2022的时候又遇到了一道利用gunicorn<20.04请求走私漏洞绕wa...
OSWE—我的代码审计之路
zkaqlaoniao的博客
06-12 966
大家好,我是 zkaq-念旧。上周,我终于获得了我梦寐以求的 OSWE 认证,然后安心过了个节,现在我也算是半只脚踏进代码审计圈了。在本篇文章中,我将介绍有关于 OSWE 课程的信息、考试规则、解答常见疑问,以及分享我的备考经验,我将带领你一步一步拿到属于你自己的 OSWE 认证。疯狂暗示(话说社区好像没有 “证书分享” 板块,要不加一个?大家考了证都来分享分享经验和心得,争取掌控全员 OSCE3 [狗头])疯狂暗示我不会任何的内网渗透知识,但我在代码领域专精。
开源攻防武器项目
Websec
07-08 4051
首先恭喜你发现了宝藏。本项目集成了全网优秀的开源攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...),漏洞利用工具(各大CMS利用工具、中间件利用工具等项目........),内网渗透工具(隧道代理、密码提取.....)、应急响应工具、甲方运维工具、等其他安全攻防资料整理,供攻防双方使用。通用漏洞类:基础漏洞类:.........
【burpsuite安全练兵场-客户端15】基于DOM的漏洞-7个实验(全)
2401_85773496的博客
07-01 931
目录一、基于DOM的漏洞1、DOM2、污染流漏洞3、共同来源4、会导致基于DOM漏洞的汇点5、防止基于DOM的污染流漏洞二、反射型DOM、存储型DOM三、控制Web消息源1、简述:2、影响:3、使用Web消息作为攻击源构建攻击实验1:使用Web消息的DOM XSS实验2:使用Web消息和JavaScript URL的DOM XSS4、Origin(原产地)核查实验3:DOM XSS使用Web消息和 JSON.parse四、基于DOM的开放重定向1、简述:2、影响:实验4:基于DOM的开放重定向五、基于DOM
burp-extender-api-kotlin:Burp Extender API-非官方的Kotlin版本
04-30
有关确切的详细信息,请参见以下提交:更新将扩展加载到Burp时,需要访问IntelliJ转换后的文件,才能访问伴随对象中的常量例如,包含的测试文件burp-kotlin-test-interface-constants.kt将作为独立的Jar工作,但在...
portswigger证书
11-19
portswigger证书,der格式、pem格式,转化好的,直接可以用哦! Android设备抓包必备哦!
swurg:将OpenAPI文档解析到Burp Suite中以自动执行基于OpenAPIAPI安全评估(PortSwigger批准将其包含在其官方BApp Store中)
02-03
Swurg是Burp Suite扩展,专门用于OpenAPI测试。 OpenAPI规范(OAS)为REST API定义了标准的,与编程语言无关的接口描述,使人和计算机都可以发现和理解服务的功能,而无需访问源代码,附加文档或检查网络流量。 通过...
【论文阅读笔记】ASPS: Augmented Segment Anything Model for Polyp Segmentation
qq_46056318的博客
07-08 681
ASPS:用于息肉分割的扩展SAM模型2024年 arxivPaperCode息肉分割在结直肠癌诊断中起着至关重要的作用。最近,Segment Anything Model(SAM)的出现利用其在大规模数据集上的强大预训练能力,为息肉分割带来了前所未有的潜力。然而,由于自然图像和内窥镜图像之间的区域差距,SAM在实现有效的息肉分割方面遇到了两个限制。首先,它的基于变压器的结构优先考虑全局和低频信息,可能会忽略局部细节,并在学习的特征中引入偏差。
微信小程序开发笔记之”表单读不出数据“解决指南
qq_46396470的博客
07-12 265
脑瓜子好了后,忘记了表单控件必须要加上。提交后打印的字典是空的,卡了十几分钟。
mysql笔记1
m0_62975692的博客
07-11 266
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
MyBatis框架学习笔记(一):MyBatis入门
2301_76144723的博客
07-08 479
MyBatis 中文手册:(1)https://mybatis.org/mybatis-3/zh/index.html(2)https://mybatis.net.cn/Maven 仓库:https://mvnrepository.com/ 仓库作用:需要什么 jar 包,搜索得到对应的 maven dependency传统的 Java 程序操作 DB 分析-工作示意图(1)MyBatis 是一个持久层框架 (2)前身是 ibatis, 在 ibatis3.x 时,更名为 MyBatis (3)MyBati
算法刷题笔记 KMP字符串(C++实现,并给出了求next数组的独家简单理解方式)
hanmo22357的博客
07-12 605
一道经典且较难的算法题,给出了C++代码实现,以及自己对next数组求解的独家简单的理解方式。
AJAX学习笔记完(学习自用)
yayaye717的博客
07-09 522
AJAX学习笔记完(学习自用)
java Web学习笔记(三)
qq_62678419的博客
07-12 702
java 前端工程框架 vue3 包括以下依赖的学习 vite npm router axios
Hugging Face使用笔记
人无远虑,必有近忧
07-09 1523
Hugging Face Hub和 Github 类似,都是Hub(社区)。Hugging Face可以说的上是机器学习界的Github。hugging face在NLP领域最出名,其提供的模型大多都是基于Transformer的。
Vue笔记12-新的组件
王劭阳的博客
07-07 351
是一个内置组件,用来在组件树中协调对异步依赖的处理。它让我们可以在组件树上层等待下层的多个嵌套异步依赖项解析完成,并可以在等待时渲染一个加载状态,需要结合异步依赖,才能看到效果。在Vue3中,可以没有div根标签,如果没有的话,Vue3会将多个标签包装在一个。在Vue2中,template标签内,必须有一个div标签,作为根标签。是一个内置组件,可以将一个组件内部的模板传送到该组件DOM外部的位置去。
PortSwigger靶场CSRF怎么提交
05-05
PortSwigger靶场中,进行CSRF攻击时,需要构造一个恶意请求,然后将其发送给目标网站。一般来说,恶意请求中需要包含一个CSRF token来伪装成合法的请求。 具体的提交方式可能有所不同,取决于靶场中的具体实现。一般来说,攻击者需要在自己的机器上构造一个HTTP请求,然后通过浏览器或者Burp Suite等工具发送给目标网站。在构造请求时,需要注意以下几个要点: 1. 请求方法:通常是POST方法。 2. 目标URL:需要将请求发送到目标网站的对应页面。 3. 请求参数:需要将恶意请求中需要的参数添加到请求参数中。 4. CSRF token:需要在请求参数中添加一个合法的CSRF token,以伪装成合法请求。 具体如何构造请求,需要根据靶场中的具体场景和实现来进行分析和实验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值