API安全

网安_秋刀鱼2024-11-25 13:53

接口安全

API特征分类

SOAP

打开就是这样

在url后面添加?wsdl访问

OpenApi-Swagger

RESTful

特征是有版本体现

例如v1这种

测试SOAP(postman联合burp和xary)

url后面加入/?WSDL访问源数据

全选复制后导入postman

开启代理到burp

burp开启代理,指向xary

开启xary

xRay.exe webscan --listen 127.0.0.1:8888 --html-output 111.html

点击运行

测试openapi-swagger

工具下载:https://github.com/jayus0821/swagger-hack

python swagger-hack2.0.py -u http://116.203.153.217:8180/api.json

打开结果文件swagger.csv

可以根据状态码和返回信息决定要不要手工测试

相关推荐
白帽子黑客罗哥1 小时前
零基础转行渗透测试 系统的学习流程(非常详细)
学习·网络安全·渗透测试·漏洞挖掘·护网行动
介一安全1 小时前
【Frida Android】实战篇13:企业常用非对称加密场景 Hook 教程
android·网络安全·逆向·安全性测试·frida
Suckerbin2 小时前
Gaara: 1靶场渗透
安全·web安全·网络安全
小白勇闯网安圈3 小时前
Training-WWW-Robots、command_execution、baby_web、xff_referer
网络安全·web
小白勇闯网安圈6 小时前
unserialize3、php_rce、Web_php_include、warmup、NewsCenter
sql·网络安全·web
是喵斯特ya6 小时前
phpstudy+安全狗搭建安全靶场
安全·web安全
bleach-7 小时前
buuctf系列解题思路祥讲--[ZJCTF 2019]NiZhuanSiWei1——文件包含漏洞和伪协议的利用
安全·web安全·网络安全·php
zjeweler7 小时前
redis tools gui ---Redis图形化漏洞利用工具
数据库·redis·web安全·缓存
码农12138号7 小时前
网络安全-身份伪造
web安全·jwt·身份伪造
bleach-8 小时前
文件描述符及Linux下利用反弹shell的各种方法
linux·websocket·web安全·网络安全·系统安全·信息与通信
热门推荐
01GitHub 镜像站点02【AutoGLM部署】本地私有化部署AI手机Agent03UV安装并设置国内源04Open-AutoGLM Windows 安装部署教程05【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)06Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08Linux下V2Ray安装配置指南09在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)10BongoCat - 跨平台键盘猫动画工具