API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

知识点

1、API分类特征-SOAP&OpenAPI&RESTful

2、API检测项目-Postman&APIKit&XRAY

部分项目下载:
https://github.com/API-Security/APIKit
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack

靶场和资源总结:
https://github.com/roottusk/vapi
https://github.com/API-Security/APISandbox
https://github.com/arainho/awesome-api-security

一、演示案例-API分类特征-SOAP&OpenAPI&RESTful

1、API分类特征

SOAP - WSDL



OpenApi - Swagger

RESTful - /v1/api/

2、API常见漏洞

XSS跨站,信息泄露,暴力破解,文件上传,未授权访问,JWT授权认证,接口滥用、逻辑越权等

3、API检测流程

Method:请求方法

攻击方式:OPTIONS,PUT,MOVE,DELETE

效果:上传恶意文件,修改页面等

URL:唯一资源定位符

攻击方式:猜测,遍历,跳转

效果:未授权访问等

Params:请求参数

攻击方式:构造参数,修改参数,遍历,重发

效果:爆破,越权,未授权访问,突破业务逻辑等

Authorization:认证方式

攻击方式:身份伪造,身份篡改

效果:越权,未授权访问等

Headers:请求消息头

攻击方式:拦截数据包,改Hosts,改Referer,改Content-Type等

效果:绕过身份认证,绕过Referer验证,绕过类型验证,DDOS等

Body:消息体

攻击方式:SQL注入,XML注入,反序列化等

二、演示案例-API检测项目-Postman&APIKit&XRAY

工具自动化-SOAP - WSDL


Postman 联动burp+xray









在运行之前需要在postman开启代理



APIKit插件(可联动xray)




工具自动化-OpenApi - Swagger

Postman 联动burp+xray







提前设置好代理

https://github.com/lijiejie/swagger-exp

https://github.com/jayus0821/swagger-hack





APIKit插件(可联动xray)






工具自动化-RESTful - /v1/api/


手工发包测-vapi靶场

手工测试和工具自动化探测的点不一样,手工偏逻辑,工具自动化偏漏洞


API1-身份越权

ID值更改遍历用户信息





API4-手机验证码枚举





API5-接口遍历

更改URL地址尝试获取所有用户信息


API8-数据库注入

API9-V1/2多版本

V2无法爆破/V1爆破1655

Postman 联动burp+xray-vapi靶场




APIKit插件


三、演示案例-SOAP&Swagger&RESTful挖掘案例

SOAP-WSDL漏扫SQL注入-数据库权限

1、发现SOAP接口

2、导入工具分析并扫描

3、发现存在SQL注入

4、利用当前接口进行数据包注入


SOAP-WSDL泄漏密码获取接口-后台权限

访问后台路由/admin/externalLogin,重定向到/admin,是后台的登陆界面

OpenAPI-Swagger接口项目发包-越权信息泄漏



相关推荐
BJHHZX19919 小时前
北京华恒智信为制造行业破解自动化伪升级难题,落地人机协作三阶段减编增效方案
自动化·绩效考核·人力资源管理·人机协作·员工激励
AI小码9 小时前
LLM 应用的缓存工程:当每次 API 调用都在燃烧成本
java·人工智能·spring·计算机·llm·编程·api
程序员吕洞宾12 小时前
开源多维表格SmartTable V1.6:自动化工作流,把重复操作交给系统即可
开源·自动化·github·多维表格·飞书多维表
2301_7803039012 小时前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
csg110712 小时前
电路板抗干扰:电容、电感和弧线布线的应用
单片机·嵌入式硬件·物联网·自动化
VIP_CQCRE13 小时前
用 Ace Data Cloud 快速接入 OpenAI Chat Completions:对话、流式、多轮和多模态一篇打通
python·ai·openai·api·教程
环境栈笔记14 小时前
多账号浏览器选型检查清单:Profile、权限、Session 和任务日志怎么评估
前端·人工智能·后端·自动化
jieyucx14 小时前
Shell实战:无限循环监控Nginx服务,异常自动重启+双份日志留存
linux·运维·nginx·自动化·shell
workflower15 小时前
室内外配送机器人-应用路径
人工智能·机器学习·设计模式·矩阵·自动化
Black蜡笔小新16 小时前
自动化AI算法训练服务器DLTM零代码私有化赋能智慧农业用AI智能视觉守护万亩良田
人工智能·算法·自动化