【Web安全】API安全(一)

最新推荐文章于 2024-08-16 10:04:33 发布
最新推荐文章于 2024-08-16 10:04:33 发布
阅读量828 收藏 8
点赞数 12
分类专栏: 渗透与防御 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46318447/article/details/137193684
版权

一、API基础知识

1、什么是API

Application Programming Interface (应用编程接口)
API使用场景:系统功能调用
在windows平台,用JAVA代码实现文件的功能
在这里插入图片描述
实现层次:从低到高
1、Windows操作系统根据硬件的架构,提供了现成的操作系统结构
2、Java语言的核心类库调用了Windows操作系统的结构
3、我们直接调用了Java编程语言的API(import一下即可),实现了文件读取

API使用场景

  1. 数据交换:API接口可以通过定义一定的数据格式和协议,实现不同系统之间的数据交互
  2. 应用集成:如果一个应用需要另外一个应用的数据或者功能,可以通过API接口来实现应用之间的集成。
  3. 数据分析:API接口可以帮助用户获取大量的数据,并对这些数据进行分析处理。
  4. 自动化任务:API接口可以让程序实现自动化操作,提高工作效率。
  5. 移动应用开发:API接口可以提供各种数据和服务,帮助开发者快速构建移动应用。

系统功能调用
(封装分层思想)

在这里插入图片描述
API使用场景:前端调用后端
前端耦合
在这里插入图片描述
API使用场景:系统内部相互调用

在这里插入图片描述
企业间的相互调用

在这里插入图片描述
API和SDK
Software Development Kit 软件开发工具包,通常SDK里面会包含很多API

2、API规范

API格式:
1、服务器地址(IP以及端口)
2、通信协议(例如 http、tcp、MQ((消息中间件)生产者、消费者))
3、endpoint (接口的URL地址)
4、版本
5、消息格式
6、请求响应字段描述
7、响应码
8、接口安全要求
OPEN API MAP
https://openapi-map.apihandyman.io/

API类型:

1、SOAP/WebService(HTTP+XML)
2、GraphQL API
https://graphql.bootcss.com/learn/
3、RESTful API(HTTP+JSON)
Representational State Transfer:表述性状态传递
http://restful.p2hp.com/
https://www.wenjiangs.com/doc/7a28swsy51mb
OPEN API 中文文档
https://openapi.apifox.cn/

3、API文档

API文档生成工具
Swagger
【工程示例】springboot_swagger
API文档示例
百度地图API
https://lbsyun.baidu.com/
FOFA API
https://fofa.info/api
钉钉API
https://open.dingtalk.com/document/ability/list
短信平台
https://unisms.apistd.com/pricing/standard

二、API安全概述

1、API安全的目标

网络安全、信息(数据)安全、应用安全
信息系统安全三要素(CIA)
1、机密性(Confientiality)
2、完整性(Integrity)
3、可用性(Availability)

2、威胁建模工具

常见的API风险

  1. 欺骗(Spoofing)
  2. 篡改(Tampering)
  3. 抵赖(Repudiation)
  4. 信息泄露(Information disclosure)
  5. 拒绝服务(Denial of service)
  6. .越权(Elevation of privilege)

3、API常见威胁

OWASP API TOP 10
1、水平越权漏洞(ID被遍历操作)
2、身份验证漏洞(重置邮箱漏洞)
3、操作了未被允许的字段(查询用户密码或更新用户ID)
4、高并发缺陷(DDoS)
5、垂直越权(普通用户使用管理员接口)
6、业务安全漏洞(薅羊毛、恶意退款)
API安全特点:API包括后端提供给前端的。提供给公司内部其他系统的。提供给其他公司的。提供给大众用户的。

  • 入口更多
  • 更新变化更多
  • 无法靠参数过滤防护

4、API安全测试检查表

API安全测试的31个Tips:
https://www.cnblogs.com/Eleven-Liu/p/15814543.html添加链接描述
API安全主要测试工具:
Burp Suite及相关插件:拦截、改包、发包、接口提取
Postman:HTTP发包
JMeter:性能测试
Fiddler:抓包
Python: requests
JSFinder: 接口地址提取工具
小程序、APP逆向

学无止境xq
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Web API接口实例练习
张中华的博客
08-12 6620
第一步创建MVC4项目: 创建 选择api 第二步:在Models下创建一个Student类: namespace TestOne.Models { public class Student { public int id { get; set; } public string nam...
WebAPI入门指南-闲话安全
02-26
WebAPI入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着WebAPI安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及WebAPI提供的安全机制。...
API. 常见的接口种类
m0_56889936的博客
06-02 523
常见的社交媒体API包括Facebook Graph API、Twitter API和Instagram API等。常见的Web API包括RESTful API、SOAP API和XML-RPC API等。常见的数据库API包括MySQL API、PostgreSQL API和SQLite API等。常见的支付API包括PayPal API、Stripe API和Alipay API等。常见的消息API包括WebSocket API和MQTT API等。
web api 接口
oYuLian的博客
06-01 481
同步 using System; using System.Collections.Generic; using System.Data; using System.Data.Entity; using System.Data.Entity.Infrastructure; using System.Linq; using System.Net; using System.Net.H
Web API接口设计经验总结
weixin_34396902的博客
09-29 886
Web API接口的开发过程中,我们可能会碰到各种各样的问题,我在前面两篇随笔《Web API应用架构在Winform混合框架中的应用(1)》、《Web API应用架构在Winform混合框架中的应用(2)--自定义异常结果的处理》也进行了总的介绍,在经过我的大量模块实践并成功运行后,总结了这篇随笔,希望对大家有所帮助。 1、在接口定义中确定MVC的GET或者POST方式 由于我们整个Web...
Web API接口 FileReader学习笔记
Dragon.G
05-29 1748
FileReader 对象允许Web应用程序异步读取存储在用户计算机上的文件(或原始数据缓冲区)的内容,使用 File 或 Blob 对象指定要读取的文件或数据。一、介绍FileReader接口的方法FileReader接口有4个方法,其中3个用来读取文件,另一个用来中断读取。无论读取成功或失败,方法并不会返回读取结果,这一结果存储在result属性中。FileReader接口事件FileReade
Web Api安全
行成于思毁于随
03-12 2516
Web Api安全性 转载自:http://www.cnblogs.com/leo_wl/p/3553385.html 系列导航地址http://www.cnblogs.com/fzrain/p/3490137.html 前言 这一篇文章我们主要来探讨一下Web Api安全性,到目前为止所有的请求都是走的Http协议(http://),因此客户端与服务器之间的通信是没有
Web Api 安全
左直拳的马桶_日用桶
05-24 2108
过去,我写过一两个Web Api,没有任何身份校验和安全措施,随便在浏览器中输入地址就能访问,谁都可以。无异于裸奔。有关Web Api安全措施,我目前了解到的有以下一些:一、使用Basic Authentication验证用户 客户端在发送Http请求的时候在Header部分提供一个基于Base64编码的用户名和密码,形式为“username:password”,消息接收者(服务器)进行验证,通
常见六大Web安全问题
letianxf的博客
11-26 7337
一、 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS(因为缩写和 CSS重叠,所以只能叫 XSS),是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 原理 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私
Web常见安全漏洞
cwb_真水无香
04-15 8816
1 越权漏洞 越权指主体逾越权限访问资源。比如用户张三取消了用户李四的外卖订单、商户营业员查看了财务信息(假定角色营业员没有财务权限)。 越权的分类: 水平越权:如上述张三取消李四外卖订单。数据越权需从数据层面考虑,映射到关系数据库中的表,应该需要增加行控制(归属校验),即表中该订单记录关联的用户是张三时,张三才有权限。 垂直越权:如上述营业员查看财务信息。功能越权需从功能层面考虑,往往需要从接口层面限制,比如在Java程序种接口方法添加角色校验注解,程序处理注解检查当前登录用户是否具有相应的权限。 1.1
web安全详解(渗透测试基础)
热门推荐
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
Web_API_安全漏洞与检测.pdf
08-07
Web API安全是现代网络信息安全领域中的一个重要组成部分,它主要关注Web应用程序接口安全性,确保数据传输和交互的安全性。Web API通过HTTP或HTTPS协议实现网络上应用程序间的通信,这包括了Web服务和使用JSON等...
C# WEB API 安全认证源码 REST
11-16
在C# Web API开发中,...综上所述,这个"C# WEB API 安全认证源码 REST"为开发者提供了一个实践性的安全认证解决方案,涵盖了从数据库配置到身份验证中间件的多个方面,对于学习和理解Web API安全性具有很高的价值。
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html...开发工具是vs2015
安全:企业上云后不可忽视的安全挑战与解决方案
A526847的博客
08-14 577
企业上云是数字化转型的必然趋势,但云安全风险也如影随形。企业必须正视云安全挑战,采取切实有效的措施来保障云安全。通过数据加密、访问控制、安全审计、备份与恢复、灾备管理、选择可信的云服务供应商和加强内部安全管理等手段,企业可以构建完善的云安全体系,确保云服务的可靠性和安全性。在未来的数字化转型中,云安全将成为企业不可或缺的重要保障。
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
最新发布
jiuxindianzi的博客
08-16 403
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
AI安全-文生图
深度安全实验室
08-15 236
AI安全-文生图
等保2.0时代,企业如何平衡安全与发展
waitaikong_的博客
08-14 362
此外,等保2.0还强化了安全管理的要求,企业需要建立完善的安全管理体系,包括安全策略、管理制度、人员培训、应急预案等,以确保安全保护措施的有效实施。等保2.0(网络安全等级保护2.0)是中国网络安全领域的重要标准,它在原有等保1.0的基础上进行了全面升级,以适应云计算、大数据、物联网、移动互联网等新兴技术的安全保护需求。等保2.0的实施促使企业加强网络安全管理和技术防范措施,这不仅有助于提升企业的网络安全防护水平,降低安全风险,还能提高企业的竞争力和信誉度。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值