API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

这篇具有很好参考价值的文章主要介绍了API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

概述

什么是接口?

接口是后端设计的一套供给第三方使用的方法
举个例子,fofa提供了第三方api接口来进行调用,使用查询语法获取资产目标资产信息
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全输入相关参数进行调用
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全API安全就是围绕着这一个接口进行的,可能存在的漏洞包括:SQL注入、身份验证、信息泄漏、XSS跨站等

1、API分类特征

SOAP - WSDL

Web Service是基于网络的、分布式的模块化组件,通过 Web 进行发布、查找和使用**。**是应用程序组件使用开放协议进行通信, 是独立的(self-contained)并可自我描述, 可通过使用UDDI来发现,可被其他应用程序使用。
交互过程
Web Services 都是放在Web服务器(如IIS)的。
WebService服务器端首先要通过一个WSDL文件来说明自己有什么服务可以对外调用,并注册到UDDI服务器,以便被人查找。
客户根据 WSDL 描述文档,使用XML封装一个 SOAP 请求消息,嵌入在一个HTTP POST请求中,发送到 Web 服务器来。
Web 服务器再把这些请求转发给 Web Services 请求处理器。
由请求处理器解析收到的 SOAP 请求,调用 Web Services,然后再生成相应的 SOAP 应答。
Web 服务器得到 SOAP 应答后,会再通过 HTTP应答的方式把信息送回到客户端。

Web services 三种基本元素:

uudl用于提供发布和查询webservice方法
wsdl是webservice服务描述语言,用于web服务说明,它是一个xml文档,用于说明一组soap消息如何访问接口
soap是简单对象访问协议,用于分布式环境的基于信息交换的同行协议,描述传递信息的格式和规范,它可以用于连接web服务和客户端之间的接口,是一个可以在不同操作系统上运行的不同语言编写的程序之间的传输通信协议,格式为xml,soap消息
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全

OpenApi - Swagger UI

API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全

Springboot Actuator

API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全同时也可以测一测heapdump泄漏以及相关命令执行漏洞

2、API检测流程

接口发现,遵循分类,依赖语言,V1/V2多版本等

Method:请求方法

攻击方式:OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等

URL:唯一资源定位符

攻击方式:猜测,遍历,跳转
效果:未授权访问等

Params:请求参数

攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等

Authorization:认证方式

攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等

Headers:请求消息头

攻击方式:拦截数据包,改Hosts,改Referer,改Content-Type等
效果:绕过身份认证,绕过Referer验证,绕过类型验证,DDOS等
Body:消息体
攻击方式:SQL注入,XML注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等

3、API检测项目

Ready API

需要自行破解使用,只适用于windows,导入接口url就可以进行安全测试,漏洞类型覆盖广,就是测试时间周期较长
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全测试结果以报告形式展示
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全

Postman 联动Xray

postman设置代理转发
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全效果如图
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全

APIKIT Burp插件

API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全具体使用

API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全相关配置
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全进行接口fuzz测试
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全

补一个案例

API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全

vapi靶场搭建

靶场搭建
搭建完成后
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测,Cyber-Security,api攻防,网络安全后面整体靶场测试过程留在下一篇blog中……

相关项目链接

https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack

部分项目下载:
https://github.com/SmartBear/soapui
https://github.com/API-Security/APIKit
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack
靶场和资源总结:
https://github.com/roottusk/vapi
https://github.com/API-Security/APISandbox
https://github.com/arainho/awesome-api-security

参考

https://blog.csdn.net/comeonmao/article/details/125708415
https://blog.csdn.net/m0_52526329/article/details/132022540文章来源地址https://www.toymoban.com/news/detail-726946.html

到了这里,关于API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • API 接口选择那个?RESTful、GraphQL、gRPC、WebSocket、Webhook

    大家好,我是比特桃。目前我们的生活紧紧地被大量互联网服务所包围,互联网上每天都有数百亿次API调用。API 是两个设备相互通讯的一种方式,人们在手机上每次指尖的悦动,背后都是 API 接口的调用。 本文将列举常见的一些 API 接口,并阐述它们之间的优缺点及关系。

    2024年02月11日
    浏览(47)
  • 医院信息系统HIS源码——接口技术:RESTful API + WebSocket + WebService

    云HIS系统采用SaaS软件应用服务模式,提供软件应用服务多租户机制,实现一中心部署多机构使用。相对传统HIS单机构应用模式,它可灵活应对区域医疗、医疗集团、医联体、连锁诊所、单体医院等应用场景,并提升区域内应用的标准化与规范化程度,大幅降低软件实施运维成

    2024年02月02日
    浏览(71)
  • # Spring MVC与RESTful API:如何设计高效的Web接口

    🌷🍁 博主猫头虎(🐅🐾)带您 Go to New World✨🍁 🦄 博客首页 ——🐅🐾猫头虎的博客🎐 🐳 《面试题大全专栏》 🦕 文章图文并茂🦖生动形象🐅简单易学!欢迎大家来踩踩~🌺 🌊 《IDEA开发秘籍专栏》 🐾 学会IDEA常用操作,工作效率翻倍~💐 🌊 《100天精通Golang(基础

    2024年02月09日
    浏览(86)
  • API 接口主流协议有哪些?如何创建 HTTP/HTTP、WebSocket/WebSockets、TCP/UDP、gRPC、SOAP、Dubbo/HSF 等不同协议?

    API 接口协议繁多,不同的协议有着不同的使用场景。70% 互联网应用开发者日常仅会接触到最通用的 HTTP 协议,相信大家希望了解更多其他协议的信息。我们今天会给大家介绍各种 API 接口主流协议和他们之间的关系。 接口协议分成两类: 传输层协议和应用层协议。 传输层协

    2023年04月21日
    浏览(91)
  • Java Restful API接口获取请求头、请求体、以及设置响应状态码、应答(响应)体等

    一、获取请求头 接口示例1: 1、从 request 对象中获取请求头: 二、获取请求体 1、从 request 对象中,使用缓冲流读取器、stream流等方式获取请求体 推荐写法一:

    2024年02月16日
    浏览(45)
  • Spring Boot + JWT = 安全无忧的RESTful API

    在构建现代Web应用程序时,安全性是一个不可或缺的要素。JSON Web Token(JWT)提供了一种简洁的方式来保护我们的RESTful接口。在本篇博客中,我们将一步步探索如何在Spring Boot应用中整合JWT,确保你的API安全、高效且易于管理。 JWT(JSON Web Token)是一个开放标准(RFC 7519),它

    2024年02月02日
    浏览(42)
  • 无需编程,基于微软mssql数据库零代码生成CRUD增删改查RESTful API接口

    通过之前一篇文章 无需编程,基于甲骨文oracle数据库零代码生成CRUD增删改查RESTful API接口 的介绍,引入了FreeMarker模版引擎,通过配置模版实现创建和修改物理表结构SQL语句,并且通过配置oracle数据库SQL模版,基于oracle数据库,零代码实现crud增删改查。本文采用同样的方式,

    2024年02月05日
    浏览(45)
  • Forest-声明式HTTP客户端框架-集成到SpringBoot实现调用第三方restful api并实现接口数据转换

    声明式HTTP客户端API框架,让Java发送HTTP/HTTPS请求不再难。它比OkHttp和HttpClient更高层, 是封装调用第三方restful api client接口的好帮手,是retrofit和feign之外另一个选择。 通过在接口上声明注解的方式配置HTTP请求接口。 官网: Forest   代码地址: forest: 声明式HTTP客户端API框架,让

    2024年02月04日
    浏览(111)
  • Web开发模式、API接口、restful规范、序列化和反序列化、drf安装和快速使用、路由转换器(复习)

    一 Web开发模式 1. 前后端混合开发模式 2.前后端分离开发模式 二 API接口 三 restful规范 四 序列化和反序列化 五 drf安装和快速使用

    2024年02月10日
    浏览(42)
  • 简单介绍API分类接口

            API其实就是一类服务的封装。我们可以使用不同的编程语言编写API,开发习惯和编程语言的不同导致API风格也存在差异。常见的API有以下几种形式: 1、HTTP类型接口 基于HTTP协议提供的API,这类API常常以“网址”形式提供的,像现在主流的RESTful就属于这类接口。 2、

    2024年02月04日
    浏览(31)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包