API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

已于 2023-10-09 12:55:11 修改
阅读量1.9k 收藏 6
点赞数 2
分类专栏: Cyber-Security 文章标签: api攻防 网络安全
于 2023-10-09 11:14:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/133637820
版权

文章目录

概述

什么是接口?

接口是后端设计的一套供给第三方使用的方法
举个例子,fofa提供了第三方api接口来进行调用,使用查询语法获取资产目标资产信息
在这里插入图片描述输入相关参数进行调用
在这里插入图片描述API安全就是围绕着这一个接口进行的,可能存在的漏洞包括:SQL注入、身份验证、信息泄漏、XSS跨站等

1、API分类特征

SOAP - WSDL

Web Service是基于网络的、分布式的模块化组件,通过 Web 进行发布、查找和使用**。**是应用程序组件使用开放协议进行通信, 是独立的(self-contained)并可自我描述, 可通过使用UDDI来发现,可被其他应用程序使用。
交互过程
Web Services 都是放在Web服务器(如IIS)的。
WebService服务器端首先要通过一个WSDL文件来说明自己有什么服务可以对外调用,并注册到UDDI服务器,以便被人查找。
客户根据 WSDL 描述文档,使用XML封装一个 SOAP 请求消息,嵌入在一个HTTP POST请求中,发送到 Web 服务器来。
Web 服务器再把这些请求转发给 Web Services 请求处理器。
由请求处理器解析收到的 SOAP 请求,调用 Web Services,然后再生成相应的 SOAP 应答。
Web 服务器得到 SOAP 应答后,会再通过 HTTP应答的方式把信息送回到客户端。

Web services 三种基本元素:

uudl用于提供发布和查询webservice方法
wsdl是webservice服务描述语言,用于web服务说明,它是一个xml文档,用于说明一组soap消息如何访问接口
soap是简单对象访问协议,用于分布式环境的基于信息交换的同行协议,描述传递信息的格式和规范,它可以用于连接web服务和客户端之间的接口,是一个可以在不同操作系统上运行的不同语言编写的程序之间的传输通信协议,格式为xml,soap消息
在这里插入图片描述

OpenApi - Swagger UI

在这里插入图片描述

Springboot Actuator

在这里插入图片描述同时也可以测一测heapdump泄漏以及相关命令执行漏洞

2、API检测流程

接口发现,遵循分类,依赖语言,V1/V2多版本等

Method:请求方法

攻击方式:OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等

URL:唯一资源定位符

攻击方式:猜测,遍历,跳转
效果:未授权访问等

Params:请求参数

攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等

Authorization:认证方式

攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等

Headers:请求消息头

攻击方式:拦截数据包,改Hosts,改Referer,改Content-Type等
效果:绕过身份认证,绕过Referer验证,绕过类型验证,DDOS等
Body:消息体
攻击方式:SQL注入,XML注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等

3、API检测项目

Ready API

需要自行破解使用,只适用于windows,导入接口url就可以进行安全测试,漏洞类型覆盖广,就是测试时间周期较长
在这里插入图片描述在这里插入图片描述测试结果以报告形式展示
在这里插入图片描述

Postman 联动Xray

postman设置代理转发
在这里插入图片描述效果如图
在这里插入图片描述

APIKIT Burp插件

在这里插入图片描述具体使用

在这里插入图片描述相关配置
在这里插入图片描述进行接口fuzz测试
在这里插入图片描述

补一个案例

在这里插入图片描述
在这里插入图片描述

vapi靶场搭建

靶场搭建
搭建完成后
在这里插入图片描述在这里插入图片描述后面整体靶场测试过程留在下一篇blog中……

相关项目链接

https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack

部分项目下载:
https://github.com/SmartBear/soapui
https://github.com/API-Security/APIKit
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack
靶场和资源总结:
https://github.com/roottusk/vapi
https://github.com/API-Security/APISandbox
https://github.com/arainho/awesome-api-security

参考

https://blog.csdn.net/comeonmao/article/details/125708415
https://blog.csdn.net/m0_52526329/article/details/132022540

今天是 几号
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Burpsuite插件之BurpKit使用方法1
08-04
它还提供了双向JavaScript 桥 API,使用户可以创建快速的一次性 BurpSuite 插件原型,该原型可以直接与 DOM 和 Burp 的扩展程序 A
Vue3项目实战开发
weixin_42533732的博客
09-04 2763
vue3基础理论、vue3的项目从0开始搭建、vue3的项目实战
漏洞发现-漏扫项目&武装BURP&浏览器插件&信息收集&分析辅助
最新发布
siu~
03-13 657
1、插件类-武装BurpSuite-漏洞检测&分析辅助 2、插件类-武装谷歌浏览器-信息收集&情报辅助 章节点: 漏洞发现-Web&框架组件&中间件&APP&小程序&系统 扫描项目-综合漏扫&特征漏扫&被动漏扫&联动漏扫 Poc开发-Ymal语法&联动导入&项目拓展&Ai结合 扫描插件-Burpsuite插件&浏览器插件&自动模版
调用WebService时加入身份验证,以拒绝未授权的访问
u014386474的博客
06-07 6251
众所周知,WebService是为企业需求提供的在线应用服务,其他公司或应用软件能够通过Internet来访问并使用这项在线服务。但在有些时候的某些应用服务不希望被未授权访问,那么此时我们可以一下几种方法来实现身份验证。   方法一:在WebService中引入SoapHeader [c-sharp] view plain copy  print?
Vue3 + Vite + TypeScript + Element-Plus:从零到一构建企业级后台管理系统(前后端开源)
热门推荐
有来技术
04-17 5万+
vue3-element-admin 是基于 vue-element-admin 升级的 Vue3 + Element Plus 版本的后台管理前端解决方案,技术栈为 Vue3 + Vite4 + TypeScript + Element Plus + Pinia + Vue Router 等当前主流框架。本篇是 vue3-element-admin v2.x 版本从 0 到 1,相较于v1.x 版本增加了对原子CSS(UnoCSS)、按需自动导入、暗黑模式的支持。
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 1688
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
BurpSuite插件
mingyqf的博客
02-12 8229
Burp Extensions BurpSuite 相关收集项目,插件主要是非BApp Store(商店) 插件的安装 JAVA编写的插件: Python编写的插件: Python编写的插件,需要使用Jython。Jython本质上是一个Java应用程序,Jython允许编码人员使用Java编码调用Python库。也可以使用Python调用Java的库。 Jython下载地址: https://www.jython.org/download 下载好之后,添加到Burp。 导入Python编写的插件,导
burp插件分享1
m0_55772907的博客
10-25 4519
burpsuite插件
什么是API接口测试
NHB456789的博客
06-06 704
API 是“应用程序编程接口”的缩写,是一种允许不同应用程序之间相互通信和交换数据的接口。就好像在餐厅点餐一样,你只需要告诉服务员你想要的食物,而不需要了解厨房中的具体操作,服务员会把你的订单传递给厨房,然后将厨师烹饪好的食物提供给你。在这个过程中,服务员扮演的就是一个 API 的角色。同样地,当你使用 API 时,你只需要调用所需的功能和服务,而不需要了解底层的代码实现。因此,API 就像是应用程序和其他软件之间的“中间人”,使它们能够相互通信和交互。
API测试方案
weixin_65995411的博客
12-12 3075
需要从上一个接口的响应数据中提取某个值,作为下一个接口的请求参数,解决方案是可以通过后置处理器(比如正则表达式提取器、JSON提取器、XPath提取器、CSS/JQuery提取器)从上一个接口的响应中提取数据,定义成变量,再在下一个接口的请求中引用这个变量来解决数据的依赖。默认情况下,测试计划下的“独立运行每个线程组”选项是没有勾选的,表示测试计划下的所有线程组是同时执行的(谁先抢到资源就先执行谁),如果勾选了这个选项,就表示按测试计划下线程组的添加顺序依次执行。接口测试是测试系统组件间接口的一种测试。
什么是API测试?开发必知的8种API自动化测试类型
nhb687095的博客
06-12 1499
快递100API开放平台是基于快递物流各类服务应用的平台,为电商平台、物流工具、打单工具、仓储系统、移动APP等系统提供专业的快递API接口服务,满足不同用户的物流管理需求。提供快递业务、数据服务等API的接入,供客户或者第三方软件供应商与快递100API进行系统对接,打通与物流系统之间的信息流,实现整体物流供应链的一体化,提升作业效率以及系统的用户购物体验。公司拥有高素质的技术和服务团队,并且积累了丰富的行业知识,通过对这种知识的运用,公司深知客户的需求,懂得如何针对不同的环境而制订解决方案。
api-oas-checker:基于光谱的 OpenAPI 3 检查器
08-03
符合互操作性模型的 API 验证器 此存储库包含一个浏览器内验证器,用于验证互操作性模型中指示的 REST API 的一些规则。 中列出了相关的项目。 处于测试阶段。 即用型在线应用程序可。 验证器基于我们比其他软件...
openapi-typescript-code-generator:通过OpenAPI方案的TypeScript代码生成器
04-04
@ himenon / openapi-typescript-code-generator该软件包根据OpenAPI v3系列API规范生成TypeScript typedef和API客户端。 它使用TypeScript AST生成代码,并将其完全转换为TypeScript代码。 它不仅将allOf和oneOf...
monki-projects-api-specs:Monki Projects的OpenAPI规范
03-15
Monki Projects OpenAPI规范 该项目包含所有Monki Projects 。 提示:一些徽章是可单击的链接,如果您正在搜索某些东西,请尝试使用它们。 概述 Monki Projects API Monki Projects API是将所有Monki Projects ...
wechatpay-axios-plugin:微信支付 WeChatPay OpenAPI v2&v3' SDK,以命令行方式与接口交互,play the openapi requests over command line
04-27
微信支付 OpenAPI SDKThe WeChatPay OpenAPI v2&v3' Smart Development Kit主要功能 使用Node原生crypto实现微信支付APIv3的AES加/解密功能(aes-256-gcm with aad) 使用Node原生crypto实现微信支付APIv3的RSA加/解密...
springdoc-openapi:具有spring-boot的OpenAPI 3库
01-29
可以使用swagger-api注释对生成的文档进行补充。 该库支持: OpenAPI 3 Spring启动(v1和v2) JSR-303,专门用于@ NotNull,@ Min,@ Max和@Size。 Swagger-ui Oauth 2 以下视频介绍了库: 这是一个基于...
vue3-element-admin 开源项目说明文档
有来技术
06-26 7039
vue3-element-admin 项目说明文档。包含项目介绍、在线预览、仓库地址、启动部署、项目文档和注意事项等相关信息。
如何使用 Python、Node.js 和 Go 创建基于 YOLOv8 的对象检测 Web 服务
01-05 2290
在本文中,展示了如何在不需要PyTorch和官方API的情况下使用 YOLOv8 模型,需要将模型部署在不同的端上,让模型使用的资源减少十倍,并且使用了如何在 Node.js、和 Go 上创建由 YOLOv8 的 Web 服务。
cadence vmanager(四)vmanager软件使用介绍
weiqi7777的博客
11-26 6514
当建好一个vmanager server后,各个client就可以通过server的ip:端口号,连接server了。 连接server,有2种方式,一是普通用户模式,权限有限制,二是超级用户模式,权限没有限制。 一般情况下,超级用户模式,不运行回归,只是对server的工程进行配置,如用户的权限设置,工程的维护等。而普通用户模式,进行运行回归,数据查看。 我使用的vmanager工具的版本
uniapp html5支付,uniapp支付宝小程序支付&用户授权·支付宝端h5支付&用户授权
06-10
对于uniapp的HTML5支付,可以使用支付宝的JSAPI接口来实现。具体步骤如下: 1. 在支付宝开放平台上创建应用,并获取到应用的APPID和应用私钥。 2. 引入支付宝JSAPI的SDK文件。 3. 调用支付宝JSAPI的方法进行支付,例如: ``` AlipayJSBridge.call("tradePay", { tradeNO: "1234567890", // 支付宝订单号 }, function(result) { // 支付结果回调函数 }); ``` 对于uniapp的支付宝小程序支付,可以使用uniapp的uni.request方法调用支付宝小程序的支付API。具体步骤如下: 1. 在支付宝开放平台上创建小程序,并获取到小程序的APPID和应用私钥。 2. 在uniapp中使用uni.request方法调用支付宝小程序的支付API,例如: ``` uni.request({ url: 'alipays://platformapi/startapp?appId=xxxx&orderInfo=xxxx&sign=xxxx', success: function(res) { // 支付结果回调函数 } }); ``` 对于支付宝端的H5支付和用户授权,可以使用支付宝的网页授权API和支付API。具体步骤如下: 1. 在支付宝开放平台上创建应用,并获取到应用的APPID和应用私钥。 2. 在网页中使用支付宝的网页授权API获取用户授权,例如: ``` https://openauth.alipay.com/oauth2/publicAppAuthorize.htm?app_id=xxxx&scope=auth_user&redirect_uri=xxxx ``` 3. 在网页中使用支付宝的支付API进行支付,例如: ``` https://openapi.alipay.com/gateway.do?app_id=xxxx&method=alipay.trade.page.pay&charset=utf-8&sign_type=RSA2&timestamp=xxxx&version=1.0&biz_content=xxxx&sign=xxxx ``` 其中,biz_content是支付的具体参数,需要根据实际情况进行设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值