第65天：API攻防-接口安全&WebPack&REST&SOAP&WSDL&WebService

目录

思维导图

前置知识

案例一：WebService 类-Wsdl&ReadyAPI-SQL 注入

案例二：SOAP 类-Swagger&SoapUI&EXP-信息泄露

案例三：HTTP 类-WebPack&PackerFuzzer-信息泄露

---

思维导图

前置知识

RPC接口: 登录游戏时候登录账号密码，如果利用接口就属于RPC

http接口：正常网站

web-service接口：专门在网站上传输数据的接口

SOAP（Simple Object Access Protocol）简单对象访问协议是交换数据的一种协
议规范，是一种轻量的、简单的、基于 XML（标准通用标记语言下的一个子集）的协议，
它被设计成在 WEB 上交换结构化的和固化的信息。SOAP 不是 Web Service 的专有协
议。
SOAP 使用 HTTP 来发送 XML 格式的数据，可以简单理解为：SOAP = HTTP +XML
REST（Representational State Transfer）即表述性状态传递，在三种主流的
Web 服务实现方案中，因为 REST 模式的 Web 服务与复杂的 SOAP 和 XML-RPC 对比来讲
明显的更加简洁，越来越多的 Web 服务开始采用 REST 风格设计和实现。例如，
Amazon.com 提供接近 REST 风格的 Web 服务进行图书查找；雅虎提供的 Web 服务也是
REST 风格的。

WSDL（Web Services Description Language）即网络服务描述语言，用于描述
Web 服务的公共接口。这是一个基于 XML 的关于如何与 Web 服务通讯和使用的服务描
述；也就是描述与目录中列出的 Web 服务进行交互时需要绑定的协议和信息格式。通常
采用抽象语言描述该服务支持的操作和信息，使用的时候再将实际的网络协议和信息格式
绑定给该服务。

接口数据包：

Method:请求方法
攻击方式：OPTIONS,PUT,MOVE,DELETE
效果：上传恶意文件，修改页面等
URL:唯一资源定位符
攻击方式：猜测，遍历，跳转
效果：未授权访问等
Params:请求参数
攻击方式：构造参数，修改参数，遍历，重发
效果：爆破，越权，未授权访问，突破业务逻辑等
Authorization:认证方式
攻击方式：身份伪造，身份篡改
效果：越权，未授权访问等
Headers:清求消息头
攻击方式：拦截数据包，改Hosts,
改Referer,改Content-Type等
效果：绕过身份认证，绕过Referer验证，绕过类型验证，DDOS等
Body:消息体
攻击方式：SQL注入，XML注入，反序列化等
效果：提权，突破业务逻辑，未授权访问等

安全问题：

XSS跨站，信息泄露，暴力破解，文件上传，未授权访问，JWT授权认证，接口滥用等

案例一：WebService 类-Wsdl&ReadyAPI-SQL 注入

看到类似这种界面就知道这里是接口

在后面加上?wsdl 以xml格式查看所有的数据

谷歌黑客语句搜索：site:edu.cn inurl:asmx?wsdl可以找到类似这种格式的网站

往往在该接口中可以查询数据，造成敏感信息泄露，或者查询时对输入的数据过滤不完整的话，也会造成sql注入漏洞,但是现在大多数网站也都做了限制

当有很多接口的时候不可能一个一个去测试，需要利用工具去探测

soapui利用过程

点击展开可以获取数据包，进行修改

修改后可以发送

但是也需要去一个一个的点，还有一款自动化的工具readapi（收费），并且该工具可以直接测试安全问题，输入刚才地址自动检测，然后生成报告

如何发现？

用爬虫（awvs，xray）做目录扫描，如果有?wsdl去做测试

案例二：SOAP 类-Swagger&SoapUI&EXP-信息泄露

Swagger类似phpmyadmin一样，是一个去管理api接口的平台

fofa搜索语句：“Swagger” && title==“Swagger UI”

管理页面

如何判断用没用swagger

方法一：查看js资源中有没有请求swagger

方法二：目录扫描，有以下类似格式的目录证明有

/swagger
/api/swagger
/swagger/ui
/api/swagger/ui
/swagger-ui.html
/api/swagger-ui.html
/user/swagger-ui.html
/libs/swaggerui
/api/swaggerui
/swagger-resources/configuration/ui
/swagger-resources/configuration/security

可以利用工具soapui把该地址写上去

写入地址

大部分都无法利用，这里好不容易找到一个可以利用的

该工具仅仅可以测试这些接口是否是能用的

这里有两款测试安全问题的脚本

https://github.com/lijiejie/swagger-exp

GitHub - jayus0821/swagger-hack:
自动化爬取并自动测试所有swagger接口

该地址中记录了接口当中的所有数据

测试完成后会生成一个图中的文件

主要看三个数据

主要查看状态码为200的，看里面有没有什么核心数据

这里很遗憾，只有一个为200的，看起来像账号密码类似的数据

![](https://img-
blog.csdnimg.cn/direct/10441b2a77e749a793f9b59d217c2cd2.png)视频中执行效果获得了很多的数据

利用思路：

网站很可能在该ip不同端口之下搭建，利用这些信息，去寻找他的网站利用

案例三：HTTP 类-WebPack&PackerFuzzer-信息泄露

webpack是一个静态模块打包工具，用于现代JavaScript应用程序。具体来说，webpack的作用包括：

• 打包资源：webpack可以将多个JavaScript模块，以及其他资源如样式表、图片等打包成一个或多个静态资源文件，以便在浏览器中加载和使用。
• 处理依赖关系：webpack会根据模块的依赖关系进行静态分析，构建依赖图，从而确定需要打包的文件和顺序。
• 优化和压缩：webpack可以对打包后的文件进行各种优化和压缩，如代码拆分、按需加载、压缩JS、CSS等，以降低文件大小，提高加载速度。
• 提供丰富的插件接口：webpack具有强大的插件接口，可以扩展其功能，例如支持多种JS书写规范、对图片进行优化等。

总的来说，webpack的主要作用是对前端资源进行统一的管理、打包、优化和发布，提高开发效率和网站性能。

如何发现：

1. 利用wappalyzer插件

​

2. 查看js返回包，有webpack*.js 或者_app*.js 里面会请求一些url地址

工具PackerFuzzer: https://github.com/rtcatc/Packer-Fuzzer

本工具支持自动模糊提取对应目标站点的API以及API对应的参数内容，并支持对：未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后，本工具还支持自动生成扫描报告，您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。

利用过程，先安装插件

pip3 install -r requirements.txt
pip.exe install pyExecJs

执行

报告在reports目录下

该报告没有安全问题

视频当中有安全问题

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。