接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

1 、 API 分类特征
SOAP - WSDL
OpenApi - Swagger
RESTful - /v1/api/
2 、 API 常见漏洞
OWASP API Security TOP 10 2023
3 、 API 检测流程
接口发现,遵循分类,依赖语言, V1/V2 多版本等
Method :请求方法
攻击方式: OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等
URL :唯一资源定位符
攻击方式:猜测,遍历,跳转
效果:未授权访问等
Params :请求参数
攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等
Authorization :认证方式
攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等
Headers :请求消息头
攻击方式:拦截数据包,改 Hosts ,改 Referer ,改 Content-Type 等
效果:绕过身份认证,绕过 Referer 验证,绕过类型验证, DDOS 等
Body :消息体
攻击方式: SQL 注入, XML 注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等
4 、 API 检测项目
工具自动化:xray yakit
SOAP - WSDL 测试 InfoSystem
Postman 联动
SoapUI ReadyAPI
OpenApi - Swagger 测试
Postman 联动
https://github.com/lijiejie/swagger-exp


可以测接口地址遍历
注入
爆破验证码
v2版本无法爆破 数据包改成v1

相关推荐
不死的精灵43 分钟前
【Java21】在spring boot中使用ScopedValue
java·spring boot·后端
M1A11 小时前
TCP/IP协议精解:IP协议——互联网世界的邮政编码系统
后端·网络协议·tcp/ip
逸风尊者1 小时前
开发易掌握的知识:GeoHash查找附近空闲车辆
java·后端
程序猿阿越3 小时前
Kafka源码(一)Controller选举与创建Topic
java·后端·源码
程序员爱钓鱼3 小时前
Go语言项目工程化 — 常见开发工具与 CI/CD 支持
开发语言·后端·golang·gin
Jiude3 小时前
MinIO 社区版被故意阉割,Web管理功能全面移除。我来试试国产RustFS
后端·docker·架构
仰望星空@脚踏实地3 小时前
Spring Boot Web 服务单元测试设计指南
spring boot·后端·单元测试
羊小猪~~3 小时前
数据库学习笔记(十七)--触发器的使用
数据库·人工智能·后端·sql·深度学习·mysql·考研
用户8324951417323 小时前
JAVA 版本多版本切换 - 傻瓜式操作工具
后端
estarlee4 小时前
随机昵称网名API接口教程:轻松获取百万创意昵称库
后端