API接口安全总结

最新推荐文章于 2024-04-23 02:33:58 发布
最新推荐文章于 2024-04-23 02:33:58 发布
阅读量2.2k 收藏 41
点赞数 54
分类专栏: Web安全漏洞 文章标签: API安全 API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66458291/article/details/135786277
版权

接口分类

HTTP接口

RPC接口(客户端和服务器端的连接 例如游戏登陆)非web协议,`PRC` 远程过程调用 `Remote Procedure Call`,其就是一个节点请求另外一个节点提供的服务。当两个物理分离的子系统需要建立逻辑上的关联时,`RPC` 是牵线搭桥的常见技术手段之一。除 `RPC` 之外,常见的多系统数据交互方案还有分布式消息队列、`HTTP` 请求调用、数据库和分布式缓存等。

- 本地过程调用:
  如果要将本地的对象进行相关操作,可以定义一个方法,然后将相关对象传入,然后对其对象进行更新,然后由函数返回更新后的函数对象。
- 远程过程调用:
  在上述过程中,如果其定义的函数是在另外一个服务器端,并且执行的函数体也是在另外一台远程服务器上,那么这个过程就称之为远程过程调用。

接口本来是网站管理员用来测试网站功能的地方,利用一些管理工具来集中接口有利于管理员测试接口功能的正确性,但是如果没有做好防护,被黑客利用就有可能会造成接口中的信息泄露甚至有可能会出现SQL注入,命令执行等一系列高危漏洞

常见的几种接口

SOAP(Simple Object Access Protocol)简单对象访问协议是交换数据的一种协议规范,是一种轻量的、简单的、基于 XML(标准通用标记语言下的一个子集)的协议,它被设计成在 WEB 上交换结构化的和固化的信息。SOAP 不是 Web Service 的专有协

议。SOAP 使用 HTTP 来发送 XML 格式的数据,可以简单理解为:SOAP = HTTP +XML

REST(Representational State Transfer)即表述性状态传递,在三种主流的Web 服务实现方案中,因为 REST 模式的 Web 服务与复杂的 SOAP 和 XML-RPC 对比来讲明显的更加简洁,越来越多的 Web 服务开始采用 REST 风格设计和实现。例如,Amazon.com 提供接近 REST 风格的 Web 服务进行图书查找;雅虎提供的 Web 服务也是REST 风格的。

WSDL(Web Services Description Language)即网络服务描述语言,用于描述Web 服务的公共接口。这是一个基于 XML 的关于如何与 Web 服务通讯和使用的服务描述;也就是描述与目录中列出的 Web 服务进行交互时需要绑定的协议和信息格式。通常采用抽象语言描述该服务支持的操作和信息,使用的时候再将实际的网络协议和信息格式绑定给该服务。

案例分析--WEBService

通过信息收集我们可以获得一个网站的WebService接口的测试网站

列出的每一个接口我们都可以进行测试,我们可以单一测试,我们也可以使用?asmx查看该网站下的所有接口

为了方便测试,我们可以使用工具帮助我们进行测试

工具的使用
 SoapUI

添加空的项目

输入网站地址(以wsdl结尾)

找到可以修改的地方进行测试修改

ReadyAPI

也可以使用自动化检测工具(收费)进行自动化检测生成报告

案例分析--Swagger接口

第三方插件去调试网站的接口---->我们利用这个插件获取网站所有可以调试接口的地方

探针方式:目录 JS加载的资源 目录中有Swagger-ui等相关关键字可以帮助我们进行判断

我们可以使用SoapUI获取网站的接口进行测

工具的使用
自动化工具 Swagger-hacker

可以使用自动化工具帮助我们进行扫描判断

最后在工具生成的xlsx文件中获取接口中的信息,查看是否有敏感信息的泄露等等

如果存在信息泄露,我们就可以获取到网站中的敏感信息

案例分析--WebPack

webpack 是代码编译工具,有入口、出口、loader 和[插件](https://baike.baidu.com/item/插件/369160?fromModule=lemma_inlink)。webpack 是一个用于现代 JavaScript 应用程序的静态模块打包工具。当 webpack 处理应用程序时,它会在内部构建一个依赖图(dependency graph),此依赖图对应映射到项目所需的每个模块,并生成一个或多个 *bundle*。

判断可以使用工具识别,也可以抓包搜索关键字

也可以使用浏览器抓包获取关键字看是否有webpack的相关关键字

工具的使用
自动化检测工具PackgeFuzz

最后使用工具测试就接口是否有安全问题(PackageFuzz)

案例分析--阿里云服务器接口管理

我们可以在aliyun开启我们的安全用户accesskey

企业在调用主机,oss等资源会调用这些东西

但是accesskey被攻击者获取的话就会接管阿里云中的所有资源信息如主机权限,oss等等

工具的使用
行云管家--在线管理平台

使用相关工具可以去管理我们的云服务资源

输入阿里云注册的accesskey就可以管理云服务资源

加载相关资源

aliyun-accesskey-tool

使用工具也可以直接获取cmd权限

补充:使用pyinstaller打包python文件为exe文件

相当于webshell工具,将我们对于云服务器的管理操作命令执行进行可视化操作

试验完后可以删除accesskey

在平时生活中如果申请了accesskey来方便云服务器管理请务必管理好key防止泄露

写在最后

如有错误,请及时指出,感谢

网安?阿哲
关注
  • 54
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
浅谈API安全
2301_78540048的博客
06-24 1066
API安全
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
带你走进API安全的知识海洋(二)
dzqxwzoe的博客
08-03 93
在上期API安全知识文章中,小编对API以及API安全的定义进行了一系列的阐述,本期文章将带大家深入了解API安全的相关知识。企业使用API来连接服务和传输数据。许多重大数据泄露问题,其幕后原因都在于API遭到破坏、泄露或攻击。受到攻击的API会让敏感的医疗、金融和个人数据公之于众,被不法分子利用。不过,并不是所有数据都是一样的,保护数据更不能以不变应万变。如何实施API防护,取决于传输的数据种类。
API 接口安全整理
云满笔记
12-05 538
HTTP 接口是互联网各系统之间对接的重要方式之一, 使用 HTTP 接口, 开发和调用都很方便, 也是被大量采用的方式, 它可以让不同系统之间实现数据的交换和共享, 但由于 HTTP 接口开放在互联网上, 那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;一种是以支付宝等支付公司为代表的私钥公钥签名验证机制;-一种是大量互联网企业都常采用的参数签名验证机制;
API接口安全设计验证:ticket,签名,时间戳
最新发布
2401_84049001的博客
04-23 598
2021年的金三银四一眨眼就到了,对于很多人来说是跳槽的好机会,大厂面试远没有我们想的那么困难,摆好心态,做好准备,你也可以的。另外,面试中遇到不会的问题不妨尝试讲讲自己的思路,因为有些问题不是考察我们的编程能力,而是逻辑思维表达能力;最后平时要进行自我分析与评价,做好职业规划,不断摸索,提高自己的编程能力和抽象思维能力。BAT面试经验实战系列:Spring全家桶+Redis等其他相关的电子书:源码+调优面试真题:《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
API接口安全
微笑-向前行
11-02 1854
APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证 HTTP协议是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用
如何保证API接口安全
APItesterCris的博客
06-23 2855
将“API接口中的token、timestamp、nonce、业务参数"进行MD5算法加密,加密后的数据就是本次请求的签名signature,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。用户认证、授权:接口的调用者必须提供有效的身份认证信息,包括用户名、密码、密钥等,以保证接口的调用者的身份有效性。API接口调用时,对每个请求参数进行签名,服务器端也同样进行签名,使用比对的方式进行验证,以防止请求参数被篡改。
如何保证API接口数据安全
油墨香^-^的博客
01-05 880
前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,也可以伪造请求去获取或攻击服务器;也对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。那我们怎么去解决这些问题呢?接口签名。
API 接口安全性及鉴权方式
热门推荐
Wollens Blogs
01-16 1万+
什么是 API 鉴权 公司、个人开发的系统上线后,系统中 API 暴露到互联网上会存在一定的安全风险,eg: 爬虫、恶意访问等。因此我们要先对接口调用方做一个用户鉴权,对访问 API 权限进行限制,如果鉴权通过则允许用户调用 API。根据不同的场景鉴权方案也有很多种。 常用 API 接口安全措施???? 数据加密 数据在互联网传输过程很容易被抓包,如果直接传输,那么用户数据可能被其他人获取,导致系统安全性等问题,所以必须对数据加密。常见的做法是对关键字段加密,比如用户密码直接通过 md5 加密。 数据签名
API安全
Anzexi123的博客
02-12 2406
API安全
大众点评api 接口Demo
11-30
《大众点评API接口Demo详解与应用实践》 大众点评API接口Demo是开发者了解和使用大众点评平台服务的重要入口,它提供了多种编程语言的实例,包括ASP.NET、JavaScript、Java、PHP以及Android,使得开发者能够方便地...
航班管家OPEN-API接口说明
11-01
【航班管家OPEN-API接口说明】 在现代信息技术的快速发展下,开放API(Application Programming Interface)已经成为企业间合作与数据共享的重要手段。"航班管家"作为一款知名的出行服务应用,提供了OPEN-API接口,...
api接口说明调试
05-03
本示例主要关注如何使用Java进行API接口的管理和调试,以支持App开发人员更好地理解和测试API。下面将详细阐述相关知识点。 一、API接口设计 API接口设计是开发过程中的关键步骤,它定义了服务提供者与服务消费者...
对Python实现简单的API接口实例讲解
09-19
总结,Python通过`wsgiref.simple_server`模块可以轻松地创建API接口。你可以根据需要扩展这些基础示例,添加路由、错误处理、身份验证等功能。同时,使用像Flask或Django这样的Web框架可以更方便地管理复杂的API...
关于接口安全
奇葩也是花
08-22 606
<?php header('content-type:text/html;charset=utf-8'); class DES { /** * DES加密 (需要打开php.ini的extension=php_mcrypt.dll) * @param string $input * @param string $key * @return str
如何保证API安全
Jernnifer_mao的博客
03-06 1655
最近知识星球中有位小伙伴问了我一个问题:如何保证接口安全性?根据我多年的工作经验,这篇文章从11个方面给大家介绍一下保证接口安全的一些小技巧,希望对你会有所帮助。
API接口是什么?API接口常见的安全问题与安全措施有哪些?
TinagirlAPI的博客
12-05 1032
简单一点说,就是一个拥有着巨大数据的彩虹表中存了许多与信息摘要算法 5字符串相对应的字符串,因此在破解信息摘要算法5时,需要在这个基础数据非常庞大的表里检索加密好的信息摘要算法5字符串,检索的时间是与该表中的数据成正比的,因此检索所需要的时间会非常漫长,就算是。在对比时,如果发现接收到的信息摘要算法5摘要和获取参数所生成的信息摘要算法5摘要不一致,如果不是在调用API接口时出现操作错误,那么便能够确定与之相关的数据已经处于篡改状态,因此便需要拒绝处理这批数据。据统计,此类应用程序多达3200个。
API接口安全—webservice、Swagger、WEBpack
qq_50854662的博客
04-20 1393
API接口安全—webservice、Swagger、WEBpack
API接口安全问题浅析
Fly_鹏程万里
02-22 1133
随着互联网的快速发展,应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式,然而API接口的广泛使用也引发了一系列的安全问题,在当今数字化时代,API接口安全问题的重要性不容忽视,恶意攻击者利用漏洞和不当的API实施,可能导致数据泄露、身份验证问题以及系统的完整性和可用性受到威胁,本文将探讨API接口安全问题的重要性并介绍常见的安全威胁和挑战,还将探讨如何保护API接口免受这些威胁并介绍一些最佳实践和安全措施。
yokoy接口规范手册V2.1_接口模式1
08-08
yokoy接口规范手册V2.1_接口模式1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值