0


API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

知识点
1、API分类特征-SOAP&OpenAPI&RESTful
2、API检测项目-Postman&APIKit&XRAY

在这里插入图片描述
部分项目下载:
https://github.com/API-Security/APIKit
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack

靶场和资源总结:
https://github.com/roottusk/vapi
https://github.com/API-Security/APISandbox
https://github.com/arainho/awesome-api-security

一、演示案例-API分类特征-SOAP&OpenAPI&RESTful

1、API分类特征

SOAP - WSDL

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

OpenApi - Swagger

在这里插入图片描述

RESTful - /v1/api/

在这里插入图片描述

2、API常见漏洞

XSS跨站,信息泄露,暴力破解,文件上传,未授权访问,JWT授权认证,接口滥用、逻辑越权等

3、API检测流程

Method:请求方法
攻击方式:OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等

URL:唯一资源定位符
攻击方式:猜测,遍历,跳转
效果:未授权访问等

Params:请求参数
攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等

Authorization:认证方式
攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等

Headers:请求消息头
攻击方式:拦截数据包,改Hosts,改Referer,改Content-Type等
效果:绕过身份认证,绕过Referer验证,绕过类型验证,DDOS等

Body:消息体
攻击方式:SQL注入,XML注入,反序列化等

二、演示案例-API检测项目-Postman&APIKit&XRAY

工具自动化-SOAP - WSDL

在这里插入图片描述
在这里插入图片描述

Postman 联动burp+xray

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在运行之前需要在postman开启代理
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

APIKit插件(可联动xray)

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

工具自动化-OpenApi - Swagger

Postman 联动burp+xray

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
提前设置好代理
在这里插入图片描述
在这里插入图片描述

https://github.com/lijiejie/swagger-exp

https://github.com/jayus0821/swagger-hack

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

APIKit插件(可联动xray)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

工具自动化-RESTful - /v1/api/

在这里插入图片描述
在这里插入图片描述

手工发包测-vapi靶场

手工测试和工具自动化探测的点不一样,手工偏逻辑,工具自动化偏漏洞
在这里插入图片描述
在这里插入图片描述
API1-身份越权
ID值更改遍历用户信息
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
API4-手机验证码枚举
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
API5-接口遍历
更改URL地址尝试获取所有用户信息
在这里插入图片描述
在这里插入图片描述
API8-数据库注入
在这里插入图片描述
API9-V1/2多版本
V2无法爆破/V1爆破1655
在这里插入图片描述
在这里插入图片描述

Postman 联动burp+xray-vapi靶场

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

APIKit插件

在这里插入图片描述
在这里插入图片描述

三、演示案例-SOAP&Swagger&RESTful挖掘案例

SOAP-WSDL漏扫SQL注入-数据库权限

1、发现SOAP接口

在这里插入图片描述

2、导入工具分析并扫描

在这里插入图片描述

3、发现存在SQL注入

在这里插入图片描述

4、利用当前接口进行数据包注入

在这里插入图片描述
在这里插入图片描述

SOAP-WSDL泄漏密码获取接口-后台权限

访问后台路由/admin/externalLogin,重定向到/admin,是后台的登陆界面
在这里插入图片描述
在这里插入图片描述

OpenAPI-Swagger接口项目发包-越权信息泄漏

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

标签: api 自动化 postman

本文转载自: https://blog.csdn.net/m0_60571842/article/details/136288450
版权归原作者 SuperherRo 所有, 如有侵权,请联系我们删除。

“API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测”的评论:

还没有评论