接口漏洞-WebService-wsdl+SOAP-Swagger+HTTP-WebPack

这篇具有很好参考价值的文章主要介绍了接口漏洞-WebService-wsdl+SOAP-Swagger+HTTP-WebPack。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

什么是接口?

       接口就是位于复杂系统之上并且能简化你的任务,它就像一个中间人让你不需要了解详细的所有细节。像谷歌搜索系统,它提供了搜索接口,简化了你的搜索任务。再像用户登录页面,我们只需要调用我们的登录接口,我们就可以达到登录系统的目的。

       接口拥有各种功能,如:文件上传,查询,添加,删除,登录等等。我们就可以在这些接口上测试该功能漏洞。

 文章来源地址https://www.toymoban.com/news/detail-723214.html

接口漏洞测试:

WebService类-Wsdl

网站资产探针:目录扫描(?wsdl

数据传输类型:WSDL(Web Services Description Language)即网络服务描述语言,用于描述Web服务的公共接口。这是一个基于XML的关于如何与Web服务通讯和使用的服务描述;也就是描述与目录中列出的Web服务进行交互时需要绑定的协议和信息格式。通常采用抽象语言描述该服务支持的操作和信息,使用的时候再将实际的网络协议和信息格式绑定给该服务。

来到接口管理页面,可以看到很多接口,不可能一个个手工测试

wsdl漏洞,API攻防,web安全,网络安全,webpack

工具:https://www.filehorse.com/download-readyapi/

使用工具ReadyAPI测试接口漏洞

1.打开工具,点击file----新建安全测试

wsdl漏洞,API攻防,web安全,网络安全,webpack

2.选择测试的接口类型,现在演示的是wsdl接口类型

wsdl漏洞,API攻防,web安全,网络安全,webpack

3.填写你要测试的接口页面地址,注意:地址后面一定要加(?wsdl),因为该地址有网站所有的接口信息,工具也只识别此地址

wsdl漏洞,API攻防,web安全,网络安全,webpack

4.里面就是测试的漏洞,点击finish

wsdl漏洞,API攻防,web安全,网络安全,webpack

5.点击run开始接口漏洞测试

wsdl漏洞,API攻防,web安全,网络安全,webpack

测试完成会生成报告,点击view summary report

wsdl漏洞,API攻防,web安全,网络安全,webpack

查看漏洞报告即可

wsdl漏洞,API攻防,web安全,网络安全,webpack

 

SOAP类-Swagger-信息泄露

数据传输类型:SOAP(Simple Object Access Protocol)简单对象访问协议是交换数据的一种协议规范,是一种轻量的、简单的、基于XML(标准通用标记语言下的一个子集)的协议,它被设计成在WEB上交换结构化的和固化的信息。SOAP不是Web Service的专有协议。

SOAP使用HTTP来发送XML格式的数据,可以简单理解为:SOAP = HTTP +XML

网站资产探针:目录扫描和js资源

Fofa语法:"Swagger" && title=="Swagger UI"

目录:

/swagger

/api/swagger

/swagger/ui

/api/swagger/ui

/swagger-ui.html

/api/swagger-ui.html

/user/swagger-ui.html

/libs/swaggerui

/api/swaggerui

/swagger-resources/configuration/ui

/swagger-resources/configuration/security

js资源:判断加载的资源中有没有带有swagger等关键字的js文件

wsdl漏洞,API攻防,web安全,网络安全,webpack

工具:https://github.com/jayus0821/swagger-hack

使用工具测试是否存在信息泄露:

1.来到接口管理页面,可以看到一个json文件路径

wsdl漏洞,API攻防,web安全,网络安全,webpack

点击进入,可以看到这个json文件保存网站所有的接口信息

wsdl漏洞,API攻防,web安全,网络安全,webpack

获取这个文件路径之后运行检测工具,

命令行输入:python swagger-hack2.0.py -u 目标json文件地址

使用python3运行

wsdl漏洞,API攻防,web安全,网络安全,webpack

工具检测结束会在根目录生成一个csv文件,保存着检测详情

wsdl漏洞,API攻防,web安全,网络安全,webpack

查看csv文件,可以看到一些敏感信息

wsdl漏洞,API攻防,web安全,网络安全,webpack

 

 

HTTP类-WebPack-信息泄露

WebPack不能算是接口

什么是webpack?

         WebPack可以看做是模块打包机:它做的事情是,分析你的项目结构,找到JavaScript模块以及其它的一些浏览器不能直接运行的拓展语言(Scss,TypeScript等),并将其转换和打包为合适的格式供浏览器使用。

判断网站是否使用WebPack:插件和js资源

1.使用浏览器插件Wappalyzer识别。

2.查看网站加载的js资源是否有webpack关键字和是否随机命名。

wsdl漏洞,API攻防,web安全,网络安全,webpack

工具:https://github.com/rtcatc/Packer-Fuzzer

使用工具PackerFuzzer检测webpack,工具会自动检测下载网站的js资源,分析是否存在安全问题,分析完毕会在工具reports目录生成报告。

运行工具需要安装许多模块,输入命令:pip3 install 模块名 。进行安装

使用python运行工具,输入:python PackerFuzzer.py -u 目标地址

wsdl漏洞,API攻防,web安全,网络安全,webpack

检测完毕,生成报告

wsdl漏洞,API攻防,web安全,网络安全,webpack

工具reports目录查看报告

wsdl漏洞,API攻防,web安全,网络安全,webpack

 

 

 

到了这里,关于接口漏洞-WebService-wsdl+SOAP-Swagger+HTTP-WebPack的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Java 调用 WebService 、java调用Soap请求、Java对接soap接口

    工作第一次遇到对接soap接口,觉得有必要记录一下,毕竟踩了不少坑,网上帖子很多但大都不全,也不可能完全满足自己的需求,于是就有了下面的代码: 除了只是借鉴, 注意事项: 1.http://ip:port/xxx/xxx/soap?wsdl有些soap接口,对面是不需要穿?wsdl对接时要问出清 2. httpPost.set

    2024年02月05日
    浏览(50)
  • Java调用WebService接口,SOAP协议HTTP请求返回XML对象

    Java调用Web service接口SOAP协议HTTP请求,解析返回的XML字符串: 1. 使用Java的HTTP库发送SOAP请求,并接收返回的响应。 可以使用Java的HttpURLConnection、Apache HttpClient等库。 2. 将返回的响应转换为字符串。 3. 解析XML字符串 ,可以使用Java的DOM解析器或者其他第三方库,如JDOM、DOM4J等。

    2024年01月19日
    浏览(48)
  • 利用idea生成webservice客户端--详解步骤--(wsdl文件的使用)

    目录 一、idea安装webservice 1.点击左上file,选中settings​编辑 2.下载Web Service 3.给此项目添加webservice 4.添加webservice的依赖 二、利用idea根据wsdl文件自动生成webService客户端代码(然后比照着生成的测试类进行接口或方法的调用) 1.打开tools - WebServices - Generate Java Code From Wsdl,按照图中

    2024年02月08日
    浏览(55)
  • Webservice--HTTP,SOAP协议区别

    1.HTTP,SOAP协议区别及联系 HTTP(Hypertext Transfer Protocol)和SOAP(Simple Object Access Protocol)是 WebService 技术中的两个不同协议,以下区别和联系: 区别: 技术目标: HTTP 是一种用于在客户端和服务器之间传输超文本的协议 ,它主要用于 Web 页面的传输和访问;而 SOAP 是一种用于

    2024年02月02日
    浏览(38)
  • WebService SOAP1.1 SOAP1.12 HTTP PSOT方式调用

    Visual Studio 2022 新建WebService项目 创建之后启动运行 设置默认文档即可 经过上面的创建WebService已经创建完成,添加HelloWorld3方法, [WebMethod] public string HelloWorld3(int a, string b) { //var s = a + b; return $\\\"Hello World a+b={a + b}\\\"; } 属性页面如下:  地址加上?wsdl----http://localhost:8012/WebService1

    2024年02月04日
    浏览(36)
  • 基于SpringBoot 的SOAP WebService实现(二)

    成功启动springboot应用后,使用postman新建POST请求,地址: http://localhost:8080/soap/userManagement  正文body选择raw,XML格式。 headers填入如下键值对:  其中xlms字段是 WSDL中的namespace字段。   发送请求,返回了一个User类 。 至此,webservice SOAP服务发布测试成功。 新建客户端模块,m

    2024年02月09日
    浏览(38)
  • 理解WebService SOAP、Restful、HTTP(post、get)请求

    Webservice 两种实现方式(SOAP、Restful)跟HTTP(post/get) 直接请求各个优缺点,以及如何判断选择使用哪一种。 HTTP-GET和HTTP-POST是 标准协议 ,他们使用HTTP( 超文本传输协议 )谓词对参数进行编码并将参数作为名称/值对传递,还使用关联的请求语义。每个协议都包含一系列H

    2024年02月07日
    浏览(44)
  • FreeBASIC通过Delphi7 DLL调用MS SOAP使用VB6 Webservice

    前几篇笔记习练了IIS soapis30配置、VB6 webservice创建、Delphi7和VB6 webservice访问: VB6 COM webservice发布,VB.NET和Delphi 7 对webservice访问,及MS Soap Toolkit 3.0在IIS上的ISAPI配置_Mongnewer的博客-CSDN博客 本篇笔记重点编写 Delphi7 DLL 对MS soap3 进行封装,让FreeBASIC通过Delphi7的DLL封装,访问IIS上的

    2024年02月09日
    浏览(55)
  • WebService 客户端增加Header头、并且指定命名空间、添加拦截器(日志拦截器,自定义拦截器)、soap:Envelope 添加命名空间

    1.增加Header头 生成XML结果如下 2.添加拦截器 3.soap:Envelope 添加命名空间 生成XML结果如下

    2024年02月10日
    浏览(47)
  • api接口安全测试-Wsdl&Swagger&Webpack

    通常在网站的通讯中,很多会调用api接口去方便更多信息的管理与调用,但是当使用某些api时,在开发人员未对api接口做出访问策略限制或其他的加固,会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露,或者其他的sql注入等等安全问题,本文介绍三种api的利用

    2023年04月16日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包