API浸透测验根底

访客5年前黑客文章872

API浸透测验是一种常见的进犯面,进犯者能够经过它来进一步获取运用程序或许服务器的拜访权限。本篇文章中,我会讲到API浸透测验的一些根底知识。
本文分为下面三部分:
1. API浸透测验是什么?
2. API恳求和呼应的结构?
3. 浸透测验的办法,东西和事例?
API浸透测验概况
API浸透测验与web运用程序浸透测验办法相同。尽管测验办法相似,但是在进犯上仍是有一些改变的,因而,咱们要找出API的一些规范缝隙,就跟Web中的Owasp Top10相同,包含:注入,拜访操控,信息走漏,IROR(不安全的方针直接引证),XSS等。
API安全认证根底
API认证和会话办理
当咱们开端检查API时,我会首要想要知道API认证和会话办理是怎么处理的。开发者们一般运用HTTP basic,Digest身份认证和 *** ON Web Token引进。现在又多了oAuth这种办法,这种办法完成授权,认证和会话办理十分简略。oAuth供给了会过期的无记名令牌,这让进犯者在认证模块中发掘缝隙愈加困难。怎么辨认API中的认证Tokens?很简略,如下图所示:


API规划和结构
现在的许多运用运用API来调用微服务或许履行某些动作或许监督用户的行为。这种API规划和结构关于客户和运用程序用户都是揭露的,因为这一点,进犯者能够了解API的结构并运用此信息来进一步进犯API。
REST API运用不同的处理恳求,比方GET,POST,PUT,DELETE,HEAD和PATCH操作等。进犯者能够修正恳求头来了解API,并运用这种了解来结构有用的进犯exp。处理恳求也能够进行修正,不过更好的做法是处理恳求不能被篡改或修正。下图是处理恳求的一个比方,请注意看服务器关于恳求所做出的呼应:

API浸透测验东西引荐
下列东西在API运用的浸透测验过程中常常运用到。在手艺浸透测验中引荐运用,这些东西网上都有免费的。
1. Swagger-Editor
2. Postman
3. Burpsuite
据Google称:Swagger关于整个API生命周期开发都有协助,从规划和文档到测验和布置。
Swagger的作用是转化OpenAPI文档为 *** ON或许YAML格局,Swagger还能够协助你为每一个API端点创立恳求。而且,还能够导入Swagger文件到postman中,有关postman运用文档,请戳这儿阅览。一旦咱们取得方针的完好信息和恳求,然后咱们就能够在postman和Swagger中修正host。这些设置有助于进行API浸透测验。
怎么发掘API缝隙?
仔细阅览客户供给的文档来了解进犯面。开发人员攻略可认为咱们供给API内部的更多信息。假如没有供给文档或许API布置在运转中的服务器中,那么咱们就需要用署理来抓取一切API恳求。在每个API恳求中完全的辨认POST和GET恳求,当咱们了解了API恳求后,记录下那些或许存在安全问题的点。以下是惯例缝隙的根底测验点:
OWASP 2019测验点:
1. 调查API每个模块中的每一个参数,了解数据是怎么从源传输到方针的。试着修正参数来对它进行一些测验。
2. 辨认API是否具有任何的授权token,假如有,测验删去这个授权token,看看运用程序的呼应。在有些情况下,假如授权处理不妥的话,API或许答应你拜访运用程序制止拜访的财物。
3. 运用拜访权限不同的用户登陆,如admin,操作员和普通用户,并剖析并检查每一个模块。
4. 检查是否能够经过受限制的用户拜访办理模块。
5. 辨认或许存在IDOR(不安全的方针直接引证)缝隙的参数,比方id=1234,而且查找cookies中是否有能够进行修正的ID参数。
6. 在恳求中的一切参数中刺进特别字符来测验是否存在注入缝隙,检查服务器的呼应。假如发现任何仓库报错信息,剖析该信息并进一步进行运用。
7. 在一切参数中刺进””,检查呼应,运用程序是否进行转义仍是直接输出。假如运用程序没有对任何特别字符进行转义,那么该运用程序或许存在XSS进犯。
8. 修正content-type服务器头来了解XML实体注入进犯。例如,修正Application/ *** ON为application/XML,而且刺进XML实体payload来查找XXE缝隙。
本文是一篇关于API浸透测验根底的介绍。更多关于web services和API浸透测验内容,请阅览这两篇文章。
http://blog.securelayer7.net/web-services-api-penetration-testing-part-1/
http://blog.securelayer7.net/web-services-api-penetration-testing-part-2/
 

相关文章

网贷教学,怎样找黑客盗号,找黑客的软件

他说有安全狗上传不了图7 CVE-2019-8651代码思路1:要害字$_GET,$_POST等搜索,看有无过滤 26试试破解作用怎么样:HKLMSoftwareMicrosof...

如何发送微信聊天记录_如何找一名黑客师傅-毕业清考前找黑客

-PO[protocol list]: 运用ip协议 Netcraft.com Information gathered如何发送微信聊天记录,如何找一名黑客师傅 args['poc_ret'][...

使用SSRF走漏云环境中的Metadata数据进一步完成RCE

本文我将向咱们共享一个新的十分有意思的缝隙。运用该缝隙可认为咱们走漏云环境中的Metadata数据,并进一步的完成长途代码履行(RCE )。 测验规模 在对该站点进行子域枚举时,我找到了[docs.r...

手机监听,学习黑客技术联系方式有吗,网赌的钱可以找黑客追回吗

电磁波在咱们的国际中接连的传达,经过特定的办法能够使其带着二进制信息,这个办法称为调制解调。 发送数据时,一般是将的调制好的基带信号(含二进制信息)和载波信号叠加后进行发送,一般基带信号的频率会比载波...

黑客接单免定金2017_找黑客查注销号码可靠吗

sudo apt install gcc-4.4该技能最早是于2018年10月6日由国外安全厂商Outflank的安全研讨人员初次揭露,并展现了运用Excel 4.0宏履行ShellCode的运用代码...

破解qq空间_哪儿有黑客高手的联系方式-找黑客帮忙微信

「破解qq空间_哪儿有黑客高手的联系方式-找黑客帮忙微信」b)assert("echo 1")是不行履行的,由于assert不能履行echo,eval("echo 1")是能够的,assert类型的w...