Api接口安全测试方法大全(附一键化扫描工具)
0x00 api接口介绍
通常在网站的通讯中,很多会调用api接口去方便更多信息的管理与调用,但是当使用某些api时,在开发人员未对api接口做出访问策略限制或其他的加固,会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露,或者其他的sql注入等等安全问题,本文介绍三种api的利用与发现
0x01 webservice类-wsdl接口测试
在webservice的开发,特别是和第三方有接口的时候,走的是soap协议,然后会有wsdl文件(或网址),这时候可以对wsdl文件进行相关的测似,敏感信息等等。
wsdl指纹探测:“?wsdl”
该api接口的安全问题有以下类型:
web 应用安全漏洞: sql注入 xss攻击 命令执行 越权 ldap注入 缓冲区溢出 逻辑漏洞 等等 xml 相关的特殊安全漏洞: xpath注入 xquery注入 拒绝服务攻击(soap 数组溢出、递归的 xml 实体声明、超大消息体) 信息泄漏(xml external entity file disclosure) 等等
在api的接口里面也可以看到一些信息调用的查询,这里就会参数敏感信息泄露的问题,这个通常可以工具结合是手工去测试发现
对于这些地方都可以进行注入,查询信息等的测试,
工具测试:soapui pro+burp
指纹:“?wsdl” && “edu” && country=“cn”
一篇不错的文章可以学习一下:
https://cloud.tencent.com/developer/article/1666998
0x02 soap类-swagger接口测试
swagger 的目标是对 rest api 定义一个标准且和语言无关的接口,可以让人和计算机拥有无须访问源码、文档或网络流量监测就可以发现和理解服务的能力。当通过 swagger 进行正确定义,用户可以理解远程服务并使用最少实现逻辑与远程服务进行交互。与为底层编程所实现的接口类似,swagger 消除了调用服务时可能会有的猜测。
在对目标信息收集可以验证一下是否存在swagger接口,以下是特征的目录指纹:
/swagger//api/swagger//swagger/ui//api/swagger/ui//swagger-ui.html/api/swagger-ui.html/user/swagger-ui.html/swagger/ui//api/swagger/ui//libs/swaggerui//api/swaggerui//swagger-resources/configuration/ui//swagger-resources/configuration/security/swagger接口漏洞测试类型接口越权接口sql注入(针对所有查询接口)接口未授权访问(重点针对管理员模块,如对用户的增删改查)任意文件上传(针对上传接口进行测试)测试信息泄露(重点针对用户、订单等信息查询接口,以及一些测试数据等)
可能存在文件上传的swagger接口
有存在数据查询的地方也可以测试注入等
工具测试:
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack
测试完后可以查看测试结果返回200,是否存在敏感信息
0x03 http类-webpack测试
webpack是一个前端的模块化打包(构建)的工具
webpack将一切繁杂的、重复的、机械的工作自动处理,开发者只需要关注于功能的实现的
指纹:使用wapplyzer帮助识别
js指纹:
webpack漏洞的检测,工具支持自动模糊提取对应目标站点的api以及api对应的参数内容,并支持对:未授权访问、敏感信息泄露、cors、sql注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的html版本以及较为正规的doc、pdf、txt版本。
packer-fuzzer:https://github.com/rtcatc/packer-fuzzer
python3 packerfuzzer.py -t adv -u http://chargepoint.com
光刻胶层的去除方法丨结果与讨论
索尼推出最新的安全摄像头CMOS图像传感器IMX675
空心杯电机与直流无刷电机的区别
RAB宣布2019年9月7日起灯具价格上涨10%
中频点焊机的变压器作用_中频点焊机变压器的维护
Api接口安全测试方法大全(附一键化扫描工具)
下一波移动机器人的主场就在这里!这家公司专利比亚马逊还多?
隧道气体检测系统:我们真的需要它吗?
广和通LTE Cat4模组L716焕新升级,为IoT行业提供经济普适无线应用
黑芝麻智能积极推进智能驾驶国产化
通用闪存UFS介绍
如何检查电动机是否发生故障
区块链底层技术智能链AIchain介绍
可穿戴设备厂商已开始投注老龄银发族的产品开发与服务
Gartner:2010年全球半导体营收可成长19.9%
智能环网柜的发展
变压器原理是什么_变压器知识大全
多传感器信息融合技术在智能驾驶系统中的应用
中航光电再次荣获“中国上市公司ESG百强”奖
dtu300解决方案 水雨情自动监测实际应用
通常在网站的通讯中,很多会调用api接口去方便更多信息的管理与调用,但是当使用某些api时,在开发人员未对api接口做出访问策略限制或其他的加固,会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露,或者其他的sql注入等等安全问题,本文介绍三种api的利用与发现
0x01 webservice类-wsdl接口测试
在webservice的开发,特别是和第三方有接口的时候,走的是soap协议,然后会有wsdl文件(或网址),这时候可以对wsdl文件进行相关的测似,敏感信息等等。
wsdl指纹探测:“?wsdl”
该api接口的安全问题有以下类型:
web 应用安全漏洞: sql注入 xss攻击 命令执行 越权 ldap注入 缓冲区溢出 逻辑漏洞 等等 xml 相关的特殊安全漏洞: xpath注入 xquery注入 拒绝服务攻击(soap 数组溢出、递归的 xml 实体声明、超大消息体) 信息泄漏(xml external entity file disclosure) 等等
在api的接口里面也可以看到一些信息调用的查询,这里就会参数敏感信息泄露的问题,这个通常可以工具结合是手工去测试发现
对于这些地方都可以进行注入,查询信息等的测试,
工具测试:soapui pro+burp
指纹:“?wsdl” && “edu” && country=“cn”
一篇不错的文章可以学习一下:
https://cloud.tencent.com/developer/article/1666998
0x02 soap类-swagger接口测试
swagger 的目标是对 rest api 定义一个标准且和语言无关的接口,可以让人和计算机拥有无须访问源码、文档或网络流量监测就可以发现和理解服务的能力。当通过 swagger 进行正确定义,用户可以理解远程服务并使用最少实现逻辑与远程服务进行交互。与为底层编程所实现的接口类似,swagger 消除了调用服务时可能会有的猜测。
在对目标信息收集可以验证一下是否存在swagger接口,以下是特征的目录指纹:
/swagger//api/swagger//swagger/ui//api/swagger/ui//swagger-ui.html/api/swagger-ui.html/user/swagger-ui.html/swagger/ui//api/swagger/ui//libs/swaggerui//api/swaggerui//swagger-resources/configuration/ui//swagger-resources/configuration/security/swagger接口漏洞测试类型接口越权接口sql注入(针对所有查询接口)接口未授权访问(重点针对管理员模块,如对用户的增删改查)任意文件上传(针对上传接口进行测试)测试信息泄露(重点针对用户、订单等信息查询接口,以及一些测试数据等)
可能存在文件上传的swagger接口
有存在数据查询的地方也可以测试注入等
工具测试:
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack
测试完后可以查看测试结果返回200,是否存在敏感信息
0x03 http类-webpack测试
webpack是一个前端的模块化打包(构建)的工具
webpack将一切繁杂的、重复的、机械的工作自动处理,开发者只需要关注于功能的实现的
指纹:使用wapplyzer帮助识别
js指纹:
webpack漏洞的检测,工具支持自动模糊提取对应目标站点的api以及api对应的参数内容,并支持对:未授权访问、敏感信息泄露、cors、sql注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的html版本以及较为正规的doc、pdf、txt版本。
packer-fuzzer:https://github.com/rtcatc/packer-fuzzer
python3 packerfuzzer.py -t adv -u http://chargepoint.com
光刻胶层的去除方法丨结果与讨论
索尼推出最新的安全摄像头CMOS图像传感器IMX675
空心杯电机与直流无刷电机的区别
RAB宣布2019年9月7日起灯具价格上涨10%
中频点焊机的变压器作用_中频点焊机变压器的维护
Api接口安全测试方法大全(附一键化扫描工具)
下一波移动机器人的主场就在这里!这家公司专利比亚马逊还多?
隧道气体检测系统:我们真的需要它吗?
广和通LTE Cat4模组L716焕新升级,为IoT行业提供经济普适无线应用
黑芝麻智能积极推进智能驾驶国产化
通用闪存UFS介绍
如何检查电动机是否发生故障
区块链底层技术智能链AIchain介绍
可穿戴设备厂商已开始投注老龄银发族的产品开发与服务
Gartner:2010年全球半导体营收可成长19.9%
智能环网柜的发展
变压器原理是什么_变压器知识大全
多传感器信息融合技术在智能驾驶系统中的应用
中航光电再次荣获“中国上市公司ESG百强”奖
dtu300解决方案 水雨情自动监测实际应用