接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

1 、 API 分类特征
SOAP - WSDL
OpenApi - Swagger
RESTful - /v1/api/
2 、 API 常见漏洞
OWASP API Security TOP 10 2023
3 、 API 检测流程
接口发现,遵循分类,依赖语言, V1/V2 多版本等
Method :请求方法
攻击方式: OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等
URL :唯一资源定位符
攻击方式:猜测,遍历,跳转
效果:未授权访问等
Params :请求参数
攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等
Authorization :认证方式
攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等
Headers :请求消息头
攻击方式:拦截数据包,改 Hosts ,改 Referer ,改 Content-Type 等
效果:绕过身份认证,绕过 Referer 验证,绕过类型验证, DDOS 等
Body :消息体
攻击方式: SQL 注入, XML 注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等
4 、 API 检测项目
工具自动化:xray yakit
SOAP - WSDL 测试 InfoSystem
Postman 联动
SoapUI ReadyAPI
OpenApi - Swagger 测试
Postman 联动
https://github.com/lijiejie/swagger-exp


可以测接口地址遍历
注入
爆破验证码
v2版本无法爆破 数据包改成v1

相关推荐
独孤九剑打醒他17 小时前
双层Master-Worker软硬协同调度架构:从根源解决分布式数据一致性难题
后端·嵌入式硬件·硬件架构·硬件工程
不会c+19 小时前
02-SpringBoot配置文件
java·spring boot·后端
雨辰AI20 小时前
生产级实战:人大金仓 V9 标准化运维手册(日常巡检 + 监控告警 + 应急处置)
java·运维·数据库·后端
TeamDev20 小时前
JxBrowser 9.3.0 版本发布啦!
java·后端·c#·混合应用·jxbrowser·浏览器控件·异步媒体设备
陈随易21 小时前
Rust、Golang、MoonBit 编译成 WASM,体积和速度差距有多大?
前端·后端·程序员
IT_陈寒21 小时前
Python多线程的坑,我居然现在才踩到
前端·人工智能·后端
魏祖潇1 天前
DDD 完整指南——AI 时代工程师的第一道秩序分水岭
人工智能·后端
im_lanny1 天前
如何给 Agent 打造“最强大脑“?深度解析短期记忆与长期记忆的分层设计
后端
Fanta丶1 天前
2.Activiti表结构介绍 类关系
后端
触底反弹1 天前
AI Tool Use 深度解析:大模型是如何"突破物理限制"调用外部工具的?
javascript·人工智能·后端