武装Burp Suite工具:APIKit插件_接口安全扫描.

武装Burp Suite工具:APIKit插件_接口安全扫描.

API安全是指通过技术手段和管理措施保护应用程序接口(API)免受未授权访问、数据泄露或恶意攻击的防护体系,核心措施包括身份认证(如OAuth2.0/JWT)、权限控制、数据加密(HTTPS/TLS)、输入验证、速率限制及日志监控等,确保API在数据传输、用户鉴权和资源调用过程中的机密性、完整性和可用性,防范注入攻击、DoS攻击等风险,是保障现代分布式系统和微服务架构安全的关键环节。


目录:

[武装Burp Suite工具:APIKit插件_接口安全扫描.](#武装Burp Suite工具:APIKit插件_接口安全扫描.)

[API 常见技术有哪些【测试之前需要知道是哪种类型】:](#API 常见技术有哪些【测试之前需要知道是哪种类型】:)

APIKit插件下载:

(1)主动扫描【swagger类型举例】:

(2)扫描结果:

(3)主动扫描【WSDL类型举例】:

(4)可以联合被动扫描工具【XRAY】


API 常见技术有哪些【测试之前需要知道是哪种类型】:

SOAP - WSDL

【特征:一般后面是.asmx?,就是在后面添加wsdl,展示所以地址,参数值,参数名,类型】

复制代码
http://xxx.com/xxx.asmx?op=debug
改为:
http://xxx.com/xxx.asmx?wsdl
只有修改?后面为wsdl

OpenApi - swagger

【特征:打开是下面的模式】


RESTful - /v1/api/

【特征:关注请求的地址,里面有v1,v2....,api】


APIKit插件下载:

GitHub - API-Security/APIKit: APIKit:Discovery, Scan and Audit APIs Toolkit All In One.


(1)主动扫描【swagger类型举例】:



注意:这里的API接口类型,根据实际情况来判定,每个接口类型都不一样.



注意:这里的API接口文档,需要根据实际情况来找到对应的接口文档.【这里页面中有给出来,所以直接用就行】


(2)扫描结果:

注意:这里主要查看true的信息就可以,看看数据包中有什么.

重点测试:测试一下逻辑漏洞.


(3)主动扫描【WSDL类型举例】:

注意:这个扫描不一样的地方,就是API类型和API文档的方式.



注意:WSDL类型的接口,就是URL后面是.asmx,然后再后面加一个?wsdl就是接口文档,看看页面有没有代码就行.


(4)可以联合被动扫描工具【XRAY】

注意:再重新发一遍数据包,XRAY会自动被动扫描漏洞.

相关推荐
Alfadi联盟 萧瑶6 小时前
未来安全与持续进化
安全
SmartSoftHelp开发辅助优化9 小时前
SmartSoftHelp 之 SQL Server 数据库安全备份与安全还原详解---深度优化版:SmartSoftHelp DeepCore XSuite
数据库·安全·oracle
Alfadi联盟 萧瑶10 小时前
安全运营与威胁对抗体系
安全
PrDarcyLuo11 小时前
【IEEE会议推荐】第五届区块链技术与信息安全国际会议
人工智能·安全·网络安全·区块链·信息与通信
zhu620197611 小时前
Android10如何设置ro.debuggable=1?
android·安全·android逆向·android10·ro.debuggable
广州创科水利12 小时前
案例分享——福建洋柄水库大桥智慧桥梁安全监测
物联网·安全·数据分析·自动化
上海云盾商务经理杨杨12 小时前
2025年高防IP与游戏盾深度对比:如何选择最佳防护方案?
网络协议·tcp/ip·安全·web安全·游戏
Think Spatial 空间思维13 小时前
【安全攻防与漏洞】HTTPS中的常见攻击与防御
网络协议·安全·https·漏洞·攻防·防御
0xCC说逆向13 小时前
Windows逆向工程提升之IMAGE_EXPORT_DIRECTORY
开发语言·数据结构·windows·安全·网络安全·pe结构·逆向工程
网硕互联的小客服14 小时前
如何排查服务器 CPU 温度过高的问题并解决?
linux·运维·服务器·网络·安全