接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

1 、 API 分类特征
SOAP - WSDL
OpenApi - Swagger
RESTful - /v1/api/
2 、 API 常见漏洞
OWASP API Security TOP 10 2023
3 、 API 检测流程
接口发现,遵循分类,依赖语言, V1/V2 多版本等
Method :请求方法
攻击方式: OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等
URL :唯一资源定位符
攻击方式:猜测,遍历,跳转
效果:未授权访问等
Params :请求参数
攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等
Authorization :认证方式
攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等
Headers :请求消息头
攻击方式:拦截数据包,改 Hosts ,改 Referer ,改 Content-Type 等
效果:绕过身份认证,绕过 Referer 验证,绕过类型验证, DDOS 等
Body :消息体
攻击方式: SQL 注入, XML 注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等
4 、 API 检测项目
工具自动化:xray yakit
SOAP - WSDL 测试 InfoSystem
Postman 联动
SoapUI ReadyAPI
OpenApi - Swagger 测试
Postman 联动
https://github.com/lijiejie/swagger-exp


可以测接口地址遍历
注入
爆破验证码
v2版本无法爆破 数据包改成v1

相关推荐
武子康4 小时前
Java-80 深入浅出 RPC Dubbo 动态服务降级:从雪崩防护到配置中心秒级生效
java·分布式·后端·spring·微服务·rpc·dubbo
舒一笑5 小时前
我的开源项目-PandaCoder迎来史诗级大更新啦
后端·程序员·intellij idea
@昵称不存在6 小时前
Flask input 和datalist结合
后端·python·flask
zhuyasen6 小时前
Go 分布式任务和定时任务太难?sasynq 让异步任务从未如此简单
后端·go
东林牧之7 小时前
Django+celery异步:拿来即用,可移植性高
后端·python·django
超浪的晨8 小时前
Java UDP 通信详解:从基础到实战,彻底掌握无连接网络编程
java·开发语言·后端·学习·个人开发
AntBlack8 小时前
从小不学好 ,影刀 + ddddocr 实现图片验证码认证自动化
后端·python·计算机视觉
Pomelo_刘金8 小时前
Clean Architecture 整洁架构:借一只闹钟讲明白「整洁架构」的来龙去脉
后端·架构·rust
双力臂4048 小时前
Spring Boot 单元测试进阶:JUnit5 + Mock测试与切片测试实战及覆盖率报告生成
java·spring boot·后端·单元测试
midsummer_woo10 小时前
基于spring boot的医院挂号就诊系统(源码+论文)
java·spring boot·后端