API安全

网安_秋刀鱼2024-11-25 13:53

接口安全

API特征分类

SOAP

打开就是这样

在url后面添加?wsdl访问

OpenApi-Swagger

RESTful

特征是有版本体现

例如v1这种

测试SOAP(postman联合burp和xary)

url后面加入/?WSDL访问源数据

全选复制后导入postman

开启代理到burp

burp开启代理,指向xary

开启xary

xRay.exe webscan --listen 127.0.0.1:8888 --html-output 111.html

点击运行

测试openapi-swagger

工具下载:https://github.com/jayus0821/swagger-hack

python swagger-hack2.0.py -u http://116.203.153.217:8180/api.json

打开结果文件swagger.csv

可以根据状态码和返回信息决定要不要手工测试

相关推荐
weixin_514253181 天前
428-uitars tmux
安全·web安全
漠月瑾-西安1 天前
软件忘了“擦黑板”:一次内核信息泄露事件(CVE-2024-49997)的深度剖析
网络安全·linux内核·内核安全·信息泄露·内存安全·cve漏洞分析
枷锁—sha2 天前
【CTFshow-pwn系列】03_栈溢出【pwn 073】详解:静态编译下的自动化 ROP 链构建
网络·汇编·笔记·安全·网络安全·自动化
treesforest2 天前
IP查询接口调用完全指南:从入门到企业级实战
大数据·网络·安全·网络安全·ip
网络安全许木2 天前
自学渗透测试第28天(协议补漏与FTP抓包)
运维·服务器·网络安全·渗透测试·php
其实防守也摸鱼2 天前
《SQL注入进阶实验:基于sqli-Labs的报错注入(Error-Based Injection)实战解析》
网络·数据库·sql·安全·网络安全·sql注入·报错注入
大方子2 天前
【好靶场】垂直越权任意添加用户
网络安全·好靶场
介一安全2 天前
【Web安全】Blind XSS漏洞:从挖掘到防御
安全·web安全·xss
сокол2 天前
【网安-Web渗透测试-内网渗透】内网信息收集(工具)
服务器·windows·网络安全·系统安全
忡黑梨2 天前
eNSP_DHCP配置
c语言·网络·c++·python·算法·网络安全·智能路由器
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法