API浸透测验是一种常见的进犯面，进犯者能够经过它来进一步获取运用程序或许服务器的拜访权限。本篇文章中，我会讲到API浸透测验的一些根底知识。
本文分为下面三部分：
1. API浸透测验是什么？
2. API恳求和呼应的结构？
3. 浸透测验的办法，东西和事例？
API浸透测验概况
API浸透测验与web运用程序浸透测验办法相同。尽管测验办法相似，但是在进犯上仍是有一些改变的，因而，咱们要找出API的一些规范缝隙，就跟Web中的Owasp Top10相同，包含：注入，拜访操控，信息走漏，IROR(不安全的方针直接引证)，XSS等。
API安全认证根底
API认证和会话办理
当咱们开端检查API时，我会首要想要知道API认证和会话办理是怎么处理的。开发者们一般运用HTTP basic，Digest身份认证和 *** ON Web Token引进。现在又多了oAuth这种办法，这种办法完成授权，认证和会话办理十分简略。oAuth供给了会过期的无记名令牌，这让进犯者在认证模块中发掘缝隙愈加困难。怎么辨认API中的认证Tokens？很简略，如下图所示：


API规划和结构
现在的许多运用运用API来调用微服务或许履行某些动作或许监督用户的行为。这种API规划和结构关于客户和运用程序用户都是揭露的，因为这一点，进犯者能够了解API的结构并运用此信息来进一步进犯API。
REST API运用不同的处理恳求，比方GET,POST,PUT,DELETE,HEAD和PATCH操作等。进犯者能够修正恳求头来了解API，并运用这种了解来结构有用的进犯exp。处理恳求也能够进行修正，不过更好的做法是处理恳求不能被篡改或修正。下图是处理恳求的一个比方，请注意看服务器关于恳求所做出的呼应：

API浸透测验东西引荐
下列东西在API运用的浸透测验过程中常常运用到。在手艺浸透测验中引荐运用，这些东西网上都有免费的。
1. Swagger-Editor
2. Postman
3. Burpsuite
据Google称：Swagger关于整个API生命周期开发都有协助，从规划和文档到测验和布置。
Swagger的作用是转化OpenAPI文档为 *** ON或许YAML格局，Swagger还能够协助你为每一个API端点创立恳求。而且，还能够导入Swagger文件到postman中，有关postman运用文档，请戳这儿阅览。一旦咱们取得方针的完好信息和恳求，然后咱们就能够在postman和Swagger中修正host。这些设置有助于进行API浸透测验。
怎么发掘API缝隙？
仔细阅览客户供给的文档来了解进犯面。开发人员攻略可认为咱们供给API内部的更多信息。假如没有供给文档或许API布置在运转中的服务器中，那么咱们就需要用署理来抓取一切API恳求。在每个API恳求中完全的辨认POST和GET恳求，当咱们了解了API恳求后，记录下那些或许存在安全问题的点。以下是惯例缝隙的根底测验点：
OWASP 2019测验点：
1. 调查API每个模块中的每一个参数，了解数据是怎么从源传输到方针的。试着修正参数来对它进行一些测验。
2. 辨认API是否具有任何的授权token，假如有，测验删去这个授权token，看看运用程序的呼应。在有些情况下，假如授权处理不妥的话，API或许答应你拜访运用程序制止拜访的财物。
3. 运用拜访权限不同的用户登陆，如admin，操作员和普通用户，并剖析并检查每一个模块。
4. 检查是否能够经过受限制的用户拜访办理模块。
5. 辨认或许存在IDOR(不安全的方针直接引证)缝隙的参数，比方id=1234，而且查找cookies中是否有能够进行修正的ID参数。
6. 在恳求中的一切参数中刺进特别字符来测验是否存在注入缝隙，检查服务器的呼应。假如发现任何仓库报错信息，剖析该信息并进一步进行运用。
7. 在一切参数中刺进””，检查呼应，运用程序是否进行转义仍是直接输出。假如运用程序没有对任何特别字符进行转义，那么该运用程序或许存在XSS进犯。
8. 修正content-type服务器头来了解XML实体注入进犯。例如，修正Application/ *** ON为application/XML，而且刺进XML实体payload来查找XXE缝隙。
本文是一篇关于API浸透测验根底的介绍。更多关于web services和API浸透测验内容，请阅览这两篇文章。
http://blog.securelayer7.net/web-services-api-penetration-testing-part-1/
http://blog.securelayer7.net/web-services-api-penetration-testing-part-2/