DAY91API 攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

于 2024-10-03 20:21:31 发布
阅读量673 收藏 3
点赞数 17
文章标签: restful 后端 安全服务 网络安全 api接口安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74402888/article/details/142695587
版权

概述

什么是接口?

接口是后端设计的一套供给第三方使用的方法
举个例子,fofa提供了第三方api接口来进行调用,使用查询语法获取资产目标资产信息

输入相关参数进行调用

知识点

1、API分类特征-SOAP&OpenAPI&RESTful

2、API检测项目-Postman&APIKit&ReadyAPI

部分项目下载:

https://github.com/API-Security/APIKit

https://github.com/lijiejie/swagger-exp

https://github.com/jayus0821/swagger-hack

靶场和资源总结:

https://github.com/roottusk/vapi

https://github.com/API-Security/APISandbox

https://github.com/arainho/awesome-api-security

API分类特征-SOAP&OpenAPI&RESTful

API分类特征

SOAP - WSDL

OpenApi - Swagger

RESTful - /v1/api/

API常见漏洞

XSS跨站,信息泄露,暴力破解,文件上传,未授权访问,JWT授权认证,接口滥用、逻辑越权等

API检测流程

Method:请求方法

攻击方式:OPTIONS,PUT,MOVE,DELETE

效果:上传恶意文件,修改页面等

URL:唯一资源定位符

攻击方式:猜测,遍历,跳转

效果:未授权访问等

Params:请求参数

攻击方式:构造参数,修改参数,遍历,重发

效果:爆破,越权,未授权访问,突破业务逻辑等

Authorization:认证方式

攻击方式:身份伪造,身份篡改

效果:越权,未授权访问等

Headers:请求消息头

攻击方式:拦截数据包,改Hosts,改Referer,改Content-Type等

效果:绕过身份认证,绕过Referer验证,绕过类型验证,DDOS等

Body:消息体

攻击方式:SQL注入,XML注入,反序列化等

API检测项目-Postman&APIKit&XRAY

工具自动化-SOAP - WSDL

Postman 联动burp+xray

221.182.16.58:8081/Service1.asmx?WSDL

在运行之前需要在postman开启代理

xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output 111.html

APIKit插件(可联动xray)

工具自动化-OpenApi - Swagger

Postman 联动burp+xray

18.163.235.104/swagger/v1/swagger.json

xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output 103.html

https://github.com/lijiejie/swagger-exp

https://github.com/jayus0821/swagger-hack

python .\swagger-hack2.0.py -u https://demodts.backend.smarten.com.tw/swagger/v1/swagger.json

APIKit插件(可联动xray)

工具自动化-RESTful - /v1/api/

vAPI 编写了专门的测试 Collection

https://raw.githubusercontent.com/roottusk/vapi/master/postman/vAPI.postman_collection.json

手工发包测-vapi靶场

手工测试和工具自动化探测的点不一样,手工偏逻辑,工具自动化偏漏洞

Get User

获取用户信息–>将返回的id设置为api1_id ,需要在 Headers 中设置 Authorization-Token,格式为base64_encode(username:password)。

Update User

修改用户信息–>同样需要在 Headers 中设置 Authorization-Token,然后设置修改内容

漏洞利用点

在获取了对象数据时,只要传入任一有效的 Authorization-Token,即可获取所有用户信息

API4-手机验证码枚举

API5-接口遍历

更改URL地址尝试获取所有用户信息

API8-数据库注入

API9-V1/2多版本
V2无法爆破/V1爆破1655

Postman 联动burp+xray-vapi靶场

APIKit插件

SOAP&Swagger&RESTful挖掘案例

SOAP-WSDL漏扫SQL注入-数据库权限

1、发现SOAP接口

2、导入工具分析并扫描

3、发现存在SQL注入

4、利用当前接口进行数据包注入

SOAP-WSDL泄漏密码获取接口-后台权限

访问后台路由/admin/externalLogin,重定向到/admin,是后台的登陆界面

OpenAPI-Swagger接口项目发包-越权信息泄漏

小春学渗透
关注
【全网最新-首发】Springfox/swagger迁移springdoc-openapi & springdoc-openapi最新版本和springboot应用集成
欢迎拜读我的作品,喜欢的领域请给我留言
07-18 6340
OpenApi是业界真正的api文档标准,一个规范,其是由 Swagger 来实现并维护的,并被linux列为api标准,从而成为行业标准。 swagger 是一个 api 文档维护组织,后来成为了 Open API 标准的主要定义者,现在最新的版本为17年发布的 Swagger3(Open Api3)。swagger2的包名为 io.swagger,而swagger3的包名为 io.swagger.core.v3。 本文重点介绍springdoc-openapi与springboot应用的快速集成
架构师之路 — API 经济 — Swagger & OpenAPI Specification
烟云的计算
09-09 2728
目录 文章目录目录Swagger 和 OpenAPIAPI 规范Design-First(设计优先)Code-First(编码优先)参考文档 Swagger 和 OpenAPI Swagger Specification 是一种 API Specification(API 规范),2015 年,SmartBear Software 将 Swagger Specification 捐赠给 Linux Foundation,并改称为 OpenAPI Specification,简称(OAS)。SmartBear
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
今天是几号的博客
10-09 2246
接口后端设计的一套供给第三方使用的方法举个例子,fofa提供了第三方api接口来进行调用,使用查询语法获取资产目标资产信息输入相关参数进行调用API安全就是围绕着这一个接口进行的,可能存在的漏洞包括:SQL注入、身份验证、信息泄漏、XSS跨站等。
Day91API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
qq_61553520的博客
04-16 1711
小迪安全-Day91API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
Spring Boot 3.x- RESTful API集成SpringDoc&Swagger-UI
laopeng301的专栏
05-09 1万+
系列文章目录 系列文章:Spring Boot 3.x 系列教程 文章目录系列文章目录前言一、快速开始二、Springdoc-openapi模块Spring WebMvc支持Spring WebFlux 支持三、Restful Api服务集成基础配置总结 前言 springdoc-openapi 帮助使用Spring Boot项目自动化API文档的生成。springdoc-openapi的工作原理是在运行时检查应用程序,根据Spring配置、类结构和各种注释推断API语义。 自动生成JSON/YAML和
OpenApi-Generator:简化RESTful API开发流程
rs勿忘初心的博客
07-01 9644
OpenAPI Generator 是一个完全免费开源 (Apache 许可 v2) 的项目,用来生成 REST1 API 客户端、服务器存根和基于 OpenAPI (以前称为 Swagger ) 规范的文档。如果您不熟悉OpenAPI 规范,那么它就是描述 RESTful API 方面最流行的标准,并得到 Adobe,Atlassian,CA Technologies,eBay,IBM,Google,Microsoft,PayPal、Salesforce,SAP,SmartBear 等众多知名公司的支持2
antDesignPro6: 如何使用openapi自动生成接口声明文档&接口调用(4步)
qq_38969618的博客
04-06 3051
openAPI:数组类型,可配置多个不同模块接口
使用Django开发RESTful API-从基础到高级
一键难忘的博客
08-18 2653
在本教程中,我们详细探讨了如何使用Django构建一个RESTful API。我们从安装和设置环境开始,逐步讲解了如何设计和实现API的各个部分,包括序列化、视图、权限和认证、版本控制,以及如何测试和部署API。Django REST framework为构建RESTful API提供了强大的工具和灵活的架构,适合各种复杂度的应用开发。通过学习和实践,您将能够构建出功能强大、性能卓越的API,为您的应用提供可靠的后端支持。
Spring Boot 3 整合 SpringDoc OpenAPI 生成接口文档
热门推荐
傲泣龙腾的博客
06-20 1万+
在我们日常开发过程中,维护良好的API文档对于团队协作和开发效率至关重要。是一个强大的工具,能够帮助我们轻松生成规范的文档,并提供交互式的Swagger UI界面。本文跟着博主一起来学习如何在项目中整合,生成在线接口文档目前有两个版本1.x以及2.x, 以下是版本对应的支持:Springdoc OpenAPI 1.x:支持 JDK 8 及以上版本(Spring Boot 2.x and 1.x.)
API接口RESTful设计
何哥的博客
03-26 2778
前言:在移动互联网、分布式和微服务盛行的今天,现在好多大点的项目都会采用的微服务框架,前后端分离方式。前后端的工作职责越来越明确,现在的前端都称之为大前端,技术栈以及生态圈都已经非常成熟,可以进行移动端跨平台开发,也可以通过node.js写服务端的Controller。 一般系统的大致整体架构图如下: 需要说明的是,这个架构也太简单了吧,什么网关、Redis缓存、MQ消息中间件都没有。因为这篇主要介绍的是API接口,所以我们聚焦点,其他的模块小伙伴们自行去补充。 1、前后端接口交互 前端和后端
springdoc-openapi:具有spring-boot的OpenAPI 3库
01-29
springdoc-openapi Java库有助于使用Spring Boot项目自动生成API文档。 springdoc-openapi的工作原理是在运行时检查应用程序以基于Spring配置,类结构和各种注释来推断API语义。 该库会自动以JSON / YAML和HTML格式...
api-oas-checker:基于光谱的 OpenAPI 3 检查器
08-03
符合互操作性模型的 API 验证器 此存储库包含一个浏览器内验证器,用于验证互操作性模型中指示的 REST API 的一些规则。 中列出了相关的项目。 处于测试阶段。 即用型在线应用程序可。 验证器基于我们比其他软件...
monki-projects-api-specs:Monki Projects的OpenAPI规范
03-15
Monki Projects OpenAPI规范 该项目包含所有Monki Projects 。 提示:一些徽章是可单击的链接,如果您正在搜索某些东西,请尝试使用它们。 概述 Monki Projects API Monki Projects API是将所有Monki Projects ...
swagger-two && nginx.rar
05-15
Swagger是用于设计、构建、记录和使用RESTful Web服务的开源工具集,它提供了一种规范化的、人类可读的接口定义方式,使得API开发者能够更有效地与客户端开发者沟通。在"swagger-two && nginx.rar"这个压缩包中,...
毕设&课程作业_基于FastAPI实现的Frida-RPC工具,自动解析JavaScript文件生成对应API接口.zip
01-24
《基于FastAPI实现的Frida-RPC工具与JavaScript API接口解析》 在现代软件开发中,快速构建高效、可扩展的API已经成为一项至关重要的任务。FastAPI是一个高性能的Web框架,它以其简洁的语法、出色的性能以及对类型...
Angular 2 用户输入
wjs2024的博客
10-02 570
Angular 2 提供了灵活的方式来处理用户输入,无论是通过简单的模板驱动表单还是更复杂的模型驱动表单。这些功能使得构建交互式和响应式的 web 应用程序变得容易。通过事件绑定和双向数据绑定,开发人员可以轻松地响应用户的操作并更新 UI。
C语言基础之数组
weixin_56559434的博客
09-29 1070
C语言中数组的使用介绍
【C#生态园】后端服务与网络库:选择适合你游戏开发的利器
最新发布
记录我的学习历程
10-02 1308
本文将重点介绍PlayFab、Photon、Lidgren.Network、Mirror、DarkRift Networking和Lidgren.Lite这六个提供后端服务或网络通信功能的库。通过简要介绍它们的核心功能、使用场景、安装与配置方法以及API概览,读者可以更好地了解并选择适合自己项目后端服务和网络库。
基于Hive和Hadoop的哔哩哔哩网站分析系统
图南的博客
09-27 704
项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值