接口调用遍历测试

最新推荐文章于 2022-04-30 15:45:39 发布
最新推荐文章于 2022-04-30 15:45:39 发布
阅读量1k 收藏
点赞数
分类专栏: web 漏洞 及 修复 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyg1165269653/article/details/90644360
版权

接口调用遍历测试

Web 接口一般将常见的一些功能需求进行封装,通过传入不同的参数来获取数据或 者执行相应的功能,其中一个最常见的场景就是通过接口传入id参数,返回对应id的一些 信息。在安全测试中,我们可以使用Burp Suite作为HTTP代理,记录所有请求和响应信 息,通过Burp Suite以登录后的状态对整站进行爬取,再使用过滤功能找到传入id参数的 HTTP请求,然后通过Intruder对id参数进行遍历,看是否返回不同的响应信息。如果不同 的id值对应不同用户的信息,则说明存在漏洞。

修复建议

在Session中存储当前用户的凭证或者id,只有传入凭证或者id参数值与Session中的一 致才返回数据内容。

墨玉呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Burpsuite的安全测试十六:业务接口调用模块测试
chang_jinling的专栏
06-24 1485
基于Burpsuite的安全测试十六:业务接口调用模块测试 情景1:接口调用重放测试 普通用户会提交一次订单,但是攻击者会通过抓取订单请求,进行接口调用重放,即短时间内通过Burp Suite工具的Repeater对请求进行多次重放从而生成多个订单。 系统修复方案: 对生成订单环节采用验证码机制,防止生成据业务被恶意调用。 一个订单一个token,订单提交一次后token就失效。 ...
遍历接口参数,自动计算url并进行签名
08-18 114
我们先选个接口,如路径规划接口,会出现Fromx ,y;Tox,y。两种参数,分别要所有城市进行便利(所有城市坐标经纬度,可以通过爬虫从高德地图上爬下来),具体方法请搜博客园 代码如下: #encoding:utf-8 #遍历所有城市路径规划的测试脚本 from xlutils.copy import copy import urlparse, copy,urllib,xlrd,
遍历脚本调用接口wiki
weixin_33744854的博客
08-16 258
#!/bin/bash#set -x#allid=`curl http://xx/wiki/children.json?pageid=$1 2>/dev/null |awk -F "[" '{print $2}'|sed 's/{/\n/g'|awk -F',' '{print $4,$6}'|awk -F : '{print $3}'`listwiki(){ ...
(35.2)【接口漏洞专题】接口遍历接口调用重放、接口参数篡改、接口未授权访问
04-15 3058
【专题】接口漏洞利用
针对常规接口测试,递归遍历所有参数各种类型异常输的例子
wergh_2008的博客
12-11 1051
#-*- coding: utf-8 -*- #author:yunque import requests,json,sys,copy,codecs,time #--------- if sys.getdefaultencoding() != 'utf-8': reload(sys) sys.setdefaultencoding('utf-8') from requ...
as3 接口类的用法和好处
01-16
同 样完成上面的两个任务,第一个,只需要调用实现接口IForeigner的类就OK了,同样地,第二个也只需要调用实现接口IWoman的类。当分区分 细,不再按中国人外国人分类,而要按照国籍来分成200多个类的时候,或者再...
Camera2Basic:测试
06-08
您可以了解如何遍历连接到设备的所有相机的特征、显示相机预览和拍照。介绍为连接到 Android 设备的各个相机设备提供了一个接口。 它取代了已弃用的 Camera 类。 使用获取所有可用摄像机的列表。 然后您可以使用并...
精通WindowsAPI 函 接口 编程实例
01-08
6.5.5 声明导出函、创建lib库,为其他模块提供导调用接口 190 6.5.6 通过构建导调用DLL导出函 191 第7章 线程同步 192 7.1 基本原理 192 7.1.1 线程同步的过程 193 7.1.2 同步对象 193 ...
精通Windows.API-函接口、编程实例.pdf
01-27
6.5.5 声明导出函、创建lib库,为其他模块提供导调用接口 190 6.5.6 通过构建导调用DLL导出函 191 第7章 线程同步 192 7.1 基本原理 192 7.1.1 线程同步的过程 193 7.1.2 同步对象 193 ...
Interator遍历接口和for...of遍历
有问题 ! 请留言 !
05-03 612
Iterator和for…of循环 Iterator(遍历器)的概念 Iterator作用 1,为各种据解构,提供一个统一的,简便的访问接口 2.是据解构的成员能够按某种次序排列 3,创造一种新的遍历命令for…of循环,Interator接受主要供for…of消费 Iterator的遍历过程就是不断调用next方法,直到指针指向结束为止, 每次返回一个包含value和done两...
业务安全之接口调用安全
江湖
09-04 2605
       关于接口设计安全,主要需要考虑两个方面的安全问题,一是接口访问验证及权限问题,主要解决接口访问的合法性(用户登录验证、来源验证、频率控制等);另外是据传输安全,主要解决接口据被监听篡改和接口错误处理(HTTPS安全传输、敏感内容加密、字签名等)。 一.接口调用重放攻击      常见于短信/邮件&验证码接口、订单生成、评论提交等,需要对请求合法性校验,请求合法性...
接口测试用例设计
weixin_30562507的博客
05-18 58
参数类(如果是http类接口,需要测试url参数的kv以及postdata参数的kv):1、测试每个参数value类型非法的情况(普通非法(长度、类型、范围)、安全类非法(延展开去又是大话题,不同类型的接口有不同的安全检查方法))2、测试每个参数value为特殊值的情况(空字符串、null、nil)3、测试每个参数key非法(普通非法(长度、类型、范围)、安全类非法(延展开去又是大话题,不同类型的...
Map接口方法和遍历方式
weixin_52385232的博客
04-30 343
Map接口方法和遍历方式
项目中遍历所有接口
tian895623的博客
06-22 734
使用RequestMappingHandlerMapping RequestMappingHandlerMapping rmhp = context.getBean(RequestMappingHandlerMapping.class); Map<RequestMappingInfo, HandlerMethod> handlers = rmhp.getHandlerMethods(); for (Entry<RequestMappingInfo, HandlerMethod&g.
攻防世界 ics-06 解题思路
xj28555的博客
07-08 1098
题目 发现报表中心可以点击 看到这题目我首先想到了是sql注,但是试了半天都没有反应,所以我想了想其他的方法,但是都没有办法。所以我无奈的去百度了下wp,发现这题竟然是一个id变量遍历的题目,有点小无语,但是在渗透测试遍历id有时候确实会有意想不到的收获,这也算我忽视的一个小知识点吧。遍历的id=2333的 ...
thinkphp实现获取某一条据,前端页面获取这条据时不用遍历获取值,直接调用这条
qq_39516866的博客
08-19 1241
首先获取这条据的id值: $cate_id = (int) $this-&gt;_param('cate_id'); 其次:获取属于这个id值的那条据(根据前端需要获取这条据的那个字段,$cate_name) $cate_name = D('ele_cate')-&gt;where(array('cate_id' =&gt; $cate_id))-&gt;getField('cat...
接口未授权访问/调用测试
酷狗直播-锦凡歆的博客
05-28 4041
接口未授权访问/调用测试 在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用 接口进行操作。如果敏感功能接口没有身份校验,那么攻击者无须登录或者验证即可调用 接口进行操作。在安全测试中,我们可以使用Burp Suite作为HTTP代理,在登录状态下记 录所有请求和响应信息,筛选出敏感功能、返回敏感据的请求。在未登录的情况下,使 用浏览器访问对应敏感功能的请求,如果返回的...
验证码暴力破解测试
酷狗直播-锦凡歆的博客
05-23 2845
验证码机制主要被用于防止暴力破解、防止DDoS攻击、识别用户身份等,常见的验 证码主要有图片验证码、邮件验证码、短信验证码、滑动验证码和语音验证码。 以短信验证码为例。短信验证码大部分情况下是由4~6位字组成,如果没有对验证 码的失效时间和尝试失败的次做限制,攻击者就可以通过尝试这个区间内的所有字来 进行暴力破解攻击。 作者: 锦凡歆在‘来疯’直播唱歌最好听 ...
CAPL 脚本CAN接收帧遍历测试
最新发布
06-09
在CAPL脚本中,可以通过使用CAN收发器接口来实现CAN接收帧遍历测试。下面是一个简单的CAPL脚本示例,演示如何实现CAN接收帧遍历测试: ``` on message CAN_MsgID { // 处理CAN据帧 } on start { // 初始化CAN接收端口 setBusOutputControl(can1, 0); // 禁用CAN发送 setBusMode(can1, 0); // 设置CAN为接收模式 setChannel(can1); // 选择CAN通道 setBaudrate(can1, 500000); // 设置CAN波特率 setAcceptanceFilter(can1, 0, 0x7FF, 0, 0); // 设置CAN过滤器,接收所有据帧 startMeasurement(); // 开始CAN通信 // 发送各种类型的CAN据帧 for (var i = 0; i < 10; i++) { var msg = createCanMessage(); msg.id = i; msg.dlc = 8; for (var j = 0; j < 8; j++) { msg.data[j] = j; } output(msg); } } on stop { stopMeasurement(); // 停止CAN通信 } ``` 在这个脚本中,我们使用了`on message`事件处理函来处理CAN据帧。`on start`事件处理函用于初始化CAN接收端口和发送各种类型的CAN据帧。`on stop`事件处理函用于停止CAN通信。在发送CAN据帧时,我们使用了`createCanMessage()`函创建一个新的CAN据帧,然后设置其ID、DLC和据。最后,我们使用`output()`函据帧发送到CAN总线上。 需要注意的是,这个脚本中的CAN过滤器设置为接收所有据帧,如果需要测试特定类型的CAN据帧,需要根据需要设置过滤器。同时,需要根据实际情况调整CAN波特率和据帧的ID、DLC和据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值