接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

1 、 API 分类特征
SOAP - WSDL
OpenApi - Swagger
RESTful - /v1/api/
2 、 API 常见漏洞
OWASP API Security TOP 10 2023
3 、 API 检测流程
接口发现,遵循分类,依赖语言, V1/V2 多版本等
Method :请求方法
攻击方式: OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等
URL :唯一资源定位符
攻击方式:猜测,遍历,跳转
效果:未授权访问等
Params :请求参数
攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等
Authorization :认证方式
攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等
Headers :请求消息头
攻击方式:拦截数据包,改 Hosts ,改 Referer ,改 Content-Type 等
效果:绕过身份认证,绕过 Referer 验证,绕过类型验证, DDOS 等
Body :消息体
攻击方式: SQL 注入, XML 注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等
4 、 API 检测项目
工具自动化:xray yakit
SOAP - WSDL 测试 InfoSystem
Postman 联动
SoapUI ReadyAPI
OpenApi - Swagger 测试
Postman 联动
https://github.com/lijiejie/swagger-exp


可以测接口地址遍历
注入
爆破验证码
v2版本无法爆破 数据包改成v1

相关推荐
cyforkk1 小时前
Spring 异常处理器:从混乱到有序,优雅处理所有异常
java·后端·spring·mvc
程序员爱钓鱼1 小时前
Go语言实战案例-开发一个Markdown转HTML工具
前端·后端·go
桦说编程2 小时前
爆赞!完全认同!《软件设计的哲学》这本书深得我心
后端
thinktik2 小时前
还在手把手教AI写代码么? 让你的AWS Kiro AI IDE直接读飞书需求文档给你打工吧!
后端·serverless·aws
老青蛙4 小时前
权限系统设计-用户设计
后端
echoyu.4 小时前
消息队列-初识kafka
java·分布式·后端·spring cloud·中间件·架构·kafka
yuluo_YX5 小时前
Go Style 代码风格规范
开发语言·后端·golang
David爱编程5 小时前
从 JVM 到内核:synchronized 与操作系统互斥量的深度联系
java·后端
彭于晏Yan5 小时前
SpringBoot优化树形结构数据查询
java·spring boot·后端