API漏洞检测研究

这篇具有很好参考价值的文章主要介绍了API漏洞检测研究。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

xray API漏洞检测_青霄的博客-CSDN博客
Swagger ui接口自动化批量漏洞测试_swgeer-ui 漏洞_山山而川'的博客-CSDN博客
    
    
什么是 API 安全测试以及它是如何工作的? | Synopsys
API 安全测试针对应用程序编程接口 (API) ,就其安全性、正确性和可靠性进行测试,以确保其符合组织的最佳实践。
API 安全测试有助于识别和预防漏洞及其相关的潜在组织风险。通过了解 API 的输入预期,API 扫描工具能够智能地模糊化数据,以发现隐藏的错误。
API 扫描背后的理念是精心设计输入,以发现 API 中的错误和未定义的行为,其在本质上是模仿潜在黑客的行为和攻击向量。
传统的DAST扫描工具无法完全覆盖API,它们只覆盖一小部分API。如果组织的前端无法与所有 API 端点进行交互,传统的 DAST 扫描工具则会将其遗漏。因此,必须采用全面的 API 测试策略,以解决 API 所有端点中的问题。
     
   
【API安全】KCon 2022议题分享:自动化API漏洞挖掘 (zhihu.com)
API漏洞检测研究,安全,API漏洞
  API漏洞检测研究,安全,API漏洞
  API漏洞检测研究,安全,API漏洞
  
   
十款优秀API安全测试工具-51CTO.COM
商业 vs 开源:10大主流API检测工具_腾讯新闻 (qq.com)
商业API测试工具与平台:
  • APIsec:针对API的渗透测试工具。很多工具可以扫描用于脚本注入等典型攻击的常见漏洞,但APIsec重在测试目标API的方方面面,确保从核心网络到访问核心网络的端点都免于遭受API代码漏洞影响。
  • AppKnox:AppKnox通过扫描定位在生产环境、端点或任何可能部署之处的API。定位后,用户可以选择API提交,进行进一步的测试。AppKnox测试所有可能导致API中断或被破坏的常见问题,测试包括对Web服务器、数据库和服务器上与API交互的所有组件的完整分析。
  • Data Theorem API Secure:旨在适应任何持续集成和持续交付/部署(CI/CD)环境,从而在开发的每个阶段和生产环境中为API提供持续的安全。该分析器引擎会持续搜索网络,查找新的API,并快速识别未授权API或属于公司影子IT的那些API。
  • Postman:使用安全存储库可以确保未来的API从一开始就保持严格的安全和组织标准。
  • Smartbear ReadyAPI:支持一键执行API安全分析,也还支持其他关键功能,例如查看API处理非预期负载或使用量突增的性能。
  • Synopsis API Scanner:除了安全测试之外,该工具还在其深度扫描与测试套件中融合了模糊测试。
     
开源API测试工具:
  • Astra:主要专注于表征状态转移(REST)API。Astra的效用在于帮助集成进CI/CD流水线,进行检查,确保常见漏洞不会蔓延到所谓的安全REST API中。
  • crAPI:crAPI是可以连接到目标系统并使用根客户端默认处理程序集提供基本路径的少数封装器之一,并且无需创建任何新连接即可完成此操作。高级API开发人员可以之节省大量时间。
  • Apache JMeter:Apache JMeter精巧的套件可以测试静态或动态资源的性能。它可以大量生成真实流量的模拟负载,供开发人员发现其API在压力下的表现。
  • Taurus:可以很方便地将独立API测试程序转换为连续测试操作。
  • FuzzapiFuzzapi是一个使用API_Fuzzer并为gem提供UI解决方案的rails应用程序。
   
   
DAST( 动态应用程序安全测试
DAST是测试web、移动和API应用程序以通过模拟攻击发现漏洞的过程。
DAST是使用自动扫描仪或手动渗透测试实践来实时测试应用程序的过程。
主要由 appsec 和渗透测试人员使用。
大多数自动扫描程序会发现 SQL 注入、NoSQL 注入、XSS 等严重漏洞。逻辑错误、身份验证和授权缺陷等难以发现的漏洞通常由道德黑客、渗透测试人员和 AppSec 工程师完成。首选方法是编写可以作为 CI/CD 的一部分执行的自动化测试用例。
优点
  • 独立于应用程序堆栈。它作为一个整体测试应用程序。在运行时的所有源代码和库都经过漏洞测试。
  • 不需要访问源代码
  • 误报率低:根据 OWASP 的基准项目,DAST 解决方案产生的误报率低于其他测试方法。
  • 识别配置问题:DAST 擅长发现仅在应用程序运行时出现的安全漏洞。此外,DAST 从外向内攻击应用程序,将其置于完美位置,以发现其他 AST 工具遗漏的配置错误。
  • 逻辑漏洞:这些缺陷在开发早期很难检测到。这些问题是由安全配置、数据和其他因素引起的,所以很难在非生产环境中检测到,检测这些缺陷需要在编写测试用例并在开发/生产中连续执行它们。
缺点:
  • 在代码中找不到漏洞的确切位置
  • 无法完全覆盖API
  • 测试可能很耗时。
免费的 DAST 解决方案:
  • EthicalCheck:API 的免费和自动化 DAST。   Free and Instant API penetration Testing | EthicalCheck™
  • Burp Suite:编写你的测试  Download Burp Suite Community Edition - PortSwigger
   
  
Astra:针对REST API的自动化安全测试工具
GitHub - flipkart-incubator/Astra: Automated Security Testing For REST API's
Astra可以自动检测和测试登录和注销(身份验证API),因此任何人都很容易将其集成到CI/CD管道中。Astra可以将API集合作为输入,因此这也可以用于在独立模式下测试API。
  • SQL注入
  • 跨站点脚本
  • 信息泄露
  • 断开的身份验证和会话管理
  • CSRF(包括盲CSRF)
  • Rate limit
  • CORS错误配置(包括CORS旁路技术)
  • JWT攻击
  • CRLF检测
  • XXE盲注
  
要求:
  • Linux or MacOS
  • Python 2.7
  • mongoDB
  
安装:
# 运行mongo容器
docker run --name astra-mongo -d mongo
# 安装GUI Docker
$ git clone https://github.com/flipkart-incubator/Astra.git
$ cd Astra
$ docker build -t astra .
$ docker run --rm -it --link astra-mongo:mongo -p 8094:8094 astra
# 安装CLI Docker
$ git clone -b docker-cli https://github.com/flipkart-incubator/Astra.git  # -b指定分支
$ cd Astra
$ docker build -t astra-cli .
$ docker run --rm -it --link astra-mongo:mongo astra-cli
     
http://192.168.11.135:8094/,经测试,感觉效果不行,dvwa漏洞环境现有的sql注入与csrf接口居然没检测出。
Fuzzapi:
Fuzzapi/fuzzapi: Fuzzapi is a tool used for REST API pentesting and uses API_Fuzzer gem (github.com)
https://youtu.be/rh7U6Kob24g  fuzzapi视频
https://youtu.be/viCCrt1aySE  fuzzapi视频
Automating API Penetration Testing using fuzzapi - AppSecUSA 2016 - YouTube fuzzapi POST请求
Fuzzapi是一个使用API_Fuzzer并为gem提供UI解决方案的rails应用程序。
安装:
​git clone https://github.com/Fuzzapi/fuzzapi.git
cd fuzzapi
docker-compose build
docker-compose up
web访问:http://localhost:3000 
安装问题:
1、Gemfile依赖于ruby,Gemfile文件中要求ruby2.3.0版本,所以要修改Dockerfile中“FROM ruby:2.3.0 ”
  API漏洞检测研究,安全,API漏洞
2、错误“There are problems and -y was used without --force-yes”可按照如下解决:
 
3、根据ruby 2.2安装bundler_tigergm310的博客-CSDN博客,可知由于bundler的最新版本已经不再支持ruby 2.3以下版本,需要指定bundler的版本:
  API漏洞检测研究,安全,API漏洞
4、错误“Bundler::Fetcher::CertificateFailureError Could not verify the SSL certificate
 
Rails Assets有段话:
  API漏洞检测研究,安全,API漏洞
据此修改如下:
  API漏洞检测研究,安全,API漏洞
  
构建后:
  API漏洞检测研究,安全,API漏洞
API漏洞检测研究,安全,API漏洞
  
访问web:http://127.0.0.1:3000/
   
GET请求:填写参数如下:
API漏洞检测研究,安全,API漏洞
文件上传接口扫描结果如下:服务器版本信息披露,通过x-powered-by进行信息披露、IDOR(越权漏洞)、Rate limit
  API漏洞检测研究,安全,API漏洞
   
   
POST请求:参数如下:
中级sql注入接口扫描结果:
API漏洞检测研究,安全,API漏洞
   
   
xray:

chaitin/xray: 一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档 (github.com)

xray 安全评估工具文档文章来源地址https://www.toymoban.com/news/detail-596226.html

一款功能强大的安全评估工具。
xray 并不开源
目前支持的漏洞检测类型包括:
  • XSS漏洞检测 (key: xss)
  • SQL 注入检测 (key: sqldet)
  • 命令/代码注入检测 (key: cmd-injection)
  • 目录枚举 (key: dirscan)
  • 路径穿越检测 (key: path-traversal)
  • XML 实体注入检测 (key: xxe)
  • 文件上传检测 (key: upload)
  • 弱口令检测 (key: brute-force)
  •  jsonp 检测 (key: jsonp)
  • ssrf 检测 (key: ssrf)
  • 基线检查 (key: baseline)
  • 任意跳转检测 (key: redirect)
  • CRLF 注入 (key: crlf-injection)
  • Struts2 系列漏洞检测 (高级版,key: struts)
  • Thinkphp系列漏洞检测 (高级版,key: thinkphp)
  • XStream 系列漏洞检测 (key: xstream)
  • POC 框架 (key: phantasm)
  
主要特性:
  • 漏洞范围广
  • 检测速度快
  • 检测算法优秀
  • 高度定制化
  • 更新速度快
    
使用方法:
1、查看版本号
./xray_linux_amd64 version
  API漏洞检测研究,安全,API漏洞
  
2、使用使用 xray 基础爬虫模式进行漏洞扫描
./xray_linux_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html
   
    API漏洞检测研究,安全,API漏洞
   
3、使用http代理进行被动扫描
./xray_linux_amd64 webscan --listen 127.0.0.1:7777 --html-output proxy.html
通过插件FoxyProxy设置浏览器 http 代理为 http://127.0.0.1:7777,就可以自动分析代理流量并扫描。
  
4、手动指定本次运行的插件
默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件。
xray webscan --plugins cmd-injection,sqldet --url http://example.com
xray webscan --plugins cmd-injection,sqldet --listen 127.0.0.1:7777
  
5、指定插件输出
可以指定将本次扫描的漏洞信息输出到某个文件中:
xray webscan --url Example Domain \
--text-output result.txt --json-output result.json --html-output report.html
 
  
报告样例: XRay Report
API漏洞检测研究,安全,API漏洞

到了这里,关于API漏洞检测研究的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • API安全学习 - crAPI漏洞靶场与API测试思路

    API是应用程序编程接口(Application Programming Interface)的缩写,是软件系统中不同组件之间进行通信和交互的接口。它是一组定义、规范和协议,用于编写应用程序的软件接口,允许不同应用程序之间进行相互通信和交互。API通常由一系列的函数、协议、工具和标准组成,它们

    2024年02月09日
    浏览(33)
  • 安全研究 # 二进制代码相似性检测综述

    本文参考: [1]方磊,武泽慧,魏强.二进制代码相似性检测技术综述[J].计算机科学,2021,48(05):1-8. (信息工程大学数学工程与先进计算国家重点实验室, 国家重点研发课题,北大核心) 代码相似性检测常用于 代码预测 、 知识产权保护 和 漏洞搜索 等领域,可分为 源代码相似性检测

    2024年02月02日
    浏览(39)
  • API安全Top 10 漏洞:crAPI漏洞靶场与解题思路

    靶场简介 在 hack 中学习,不要去学习 hack 。 对于想了解 API 安全的同学,最直接的方式就是拿到一个靶场进行实战。正好,crAPI 项目就是 OWASP 推出的 API 安全项目,可以帮助大家了解常见的 API 安全漏洞。 本文将对 crAPI 靶场的相关漏洞以及打靶思路进行简单的介绍,希望对

    2024年01月20日
    浏览(40)
  • 有哪些信息安全/网络安全/渗透测试/众测/CTF/红蓝攻防/漏洞测试等前沿技术/研究/技巧获取渠道?

    护网的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。护网是国家应对

    2024年02月06日
    浏览(54)
  • API接口安全风险大盘点:常见漏洞一览

    常见API接口漏洞 了解接口常见漏洞,将帮助你在测试接口获取更多的思路。 信息披露 信息可能会在 API 响应或公共来源(如代码存储库、搜索结果、新闻、社交媒体、目标网站和公共 API 目录)中披露。 敏感数据可以包含攻击者可以利用的任何信息。 例如,使用WordPress AP

    2024年03月27日
    浏览(42)
  • 安全测试之xss漏洞的检测与防御

    整理了一些软件测试方面的资料、面试资料(接口自动化、web自动化、app自动化、性能安全、测试开发等),有需要的小伙伴可以文末加入我的学习交流qun,无套路自行领取~  最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是

    2024年02月11日
    浏览(50)
  • Metasploit Framework-安全漏洞检测工具使用

    一款开源的安全漏洞检测工具,简称MSF。可以收集信息、探测系统漏洞、执行漏洞利用测试等,为渗透测试、攻击编码和漏洞研究提供了一个可靠平台。 集成数千个漏洞利用、辅助测试模块,并保持持续更新。 由著名黑客、安全专家H.D. Moore主导开发 SecTools.Org Top Network Secu

    2024年02月02日
    浏览(48)
  • 【AI安全研究】构建基于AI技术的安全检测与防范平台:以Java技术为例

    作者:禅与计算机程序设计艺术 【AI安全研究】构建基于AI技术的安全检测与防范平台:以Java技术为例 引言 1.1. 背景介绍 随着人工智能技术的快速发展,各种网络安全问题日益严峻。为了应对这些威胁,构建基于人工智能的安全检测与防范平台成为了重要的研究方向。 1.2

    2024年02月16日
    浏览(44)
  • 安全扫描:检测到目标站点存在javascript框架库漏洞

    发现问题: 检测到目标站点存在javascript框架库漏洞 解决办法: 1、在node_modules里查找到jsencrypt文件夹,将里面的jsencrypt.min.js文件复制出来,放在utils文件夹里。 2、在main.js里,引用方式将 import JsEncrypt from \\\'jsencrypt\\\' 改为 import JsEncrypt from \\\'@/utils/jsencrypt.min.js\\\'

    2024年02月16日
    浏览(43)
  • 信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)

    信息服务上线渗透检测网络安全检查报告和解决方案3(系统漏洞扫描、相对路径覆盖RPO漏洞、nginx漏洞修复) 信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级) 信息服务上线渗透检测网络安

    2024年02月12日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包