API渗透测试基础

栏目: 编程工具 · 发布时间: 5年前

内容简介:API渗透测试是一种常见的攻击面,攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中,我会讲到API渗透测试的一些基础知识。1. API渗透测试是什么?2. API请求和响应的结构?

API渗透测试概述

API渗透测试是一种常见的攻击面,攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中,我会讲到API渗透测试的一些基础知识。

本文分为下面三部分:

1. API渗透测试是什么?

2. API请求和响应的结构?

3. 渗透测试的方法,工具和案例?

API渗透测试详情

API渗透测试与 web应用程序渗透测试 方法相同。虽然测试方法类似,但是在攻击上还是有一些变化的,因此,我们要找出API的一些标准漏洞,就跟Web中的Owasp Top10一样,包括:注入,访问控制,信息泄露,IROR(不安全的对象直接引用),XSS等。

API安全认证基础

API认证和会话管理

当我们开始查看API时,我会首先想要知道API认证和会话管理是如何处理的。开发者们通常使用HTTP basic,Digest身份认证和JSON Web Token引入。现在又多了oAuth这种方式,这种方法实现授权,认证和会话管理非常简单。oAuth提供了会过期的无记名令牌,这让攻击者在认证模块中挖掘漏洞更加困难。如何识别API中的认证Tokens?很简单,如下图所示:

API渗透测试基础

API渗透测试基础

API设计和结构

现在的很多应用使用API来调用微服务或者执行某些动作或者监视用户的行为。这种API设计和结构对于客户和应用程序用户都是公开的,由于这一点,攻击者能够理解API的结构并利用此信息来进一步攻击API。

REST API使用不同的处理请求,比如GET,POST,PUT,DELETE,HEAD和PATCH操作等。攻击者可以修改请求头来理解API,并利用这种理解来构造有效的攻击exp。处理请求也可以进行修改,不过最好的做法是处理请求不能被篡改或修改。下图是处理请求的一个例子,请注意看服务器对于请求所做出的响应:

API渗透测试基础

API渗透测试 工具 推荐

下列工具在API应用的渗透测试过程中经常使用到。在手工渗透测试中推荐使用,这些工具网上都有免费的。

1. Swagger-Editor

2. Postman

3. Burpsuite

据Google称:Swagger对于整个API生命周期开发都有帮助,从设计和文档到测试和部署。

Swagger的作用是转换OpenAPI文档为JSON或者YAML格式,Swagger还可以帮助你为每一个API端点创建请求。而且,还能够导入Swagger文件到postman中,有关postman使用文档,请戳 这里 阅读。一旦我们获得目标的完整信息和请求,然后我们就可以在postman和Swagger中修改host。这些设置有助于进行API渗透测试。

如何挖掘API漏洞?

仔细阅读客户提供的文档来了解攻击面。开发人员指南可以为我们提供API内部的更多信息。如果没有提供文档或者API部署在运行中的服务器中,那么我们就需要用代理来抓取所有API请求。在每个API请求中彻底的识别POST和GET请求,当我们理解了API请求后,记录下那些可能存在安全问题的点。以下是常规漏洞的基础测试点:

OWASP 2017测试点:

1. 观察API每个模块中的每一个参数,理解数据是如何从源传输到目标的。试着修改参数来对它进行一些测试。

2. 识别API是否具有任何的授权token,如果有,尝试删除这个授权token,看看应用程序的响应。在有些情况下,如果授权处理不当的话,API可能允许你访问应用程序禁止访问的资产。

3. 使用访问权限不同的用户登陆,如admin,操作员和普通用户,并分析并检查每一个模块。

4. 检查是否可以通过受限制的用户访问管理模块。

5. 识别可能存在IDOR(不安全的对象直接引用)漏洞的参数,比如id=1234,并且查找cookies中是否有可以进行修改的ID参数。

6. 在请求中的所有参数中插入特殊字符来测试是否存在注入漏洞,查看服务器的响应。如果发现任何堆栈报错信息,分析该信息并进一步进行利用。

7. 在所有参数中插入”<”,”>”,查看响应,应用程序是否进行转义还是直接输出。如果应用程序没有对任何特殊字符进行转义,那么该应用程序可能存在XSS攻击。

8. 修改content-type服务器头来理解XML实体注入攻击。例如,修改Application/JSON为application/XML,并且插入XML实体payload来查找XXE漏洞。

本文是一篇关于API渗透测试基础的介绍。更多关于web services和API渗透测试内容,请阅读这两篇文章。

http://blog.securelayer7.net/web-services-api-penetration-testing-part-1/

http://blog.securelayer7.net/web-services-api-penetration-testing-part-2/


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

从颠覆到创新

从颠覆到创新

长江商学院 / 中国友谊出版公司 / 49.00

互联网+时代的汹涌来临,一切我们所熟知的事物都在发生改变,商业模式的剧烈变化正在席卷各行各业,所有坚硬的壁垒都将消散,所有的企业都面临着商业模式的再探索和转型,而商业模式的探索、失败、进化,甚而再回到起点,杀死自己推倒重来,不断颠覆不断创新,不断涅槃不断重生,这不仅仅是这个时代新创公司的特征,也是今天互联网领域所有存活下来的巨头们的轨迹。 本书通过11个典型的互联网企业商业模式转型案例,讲述......一起来看看 《从颠覆到创新》 这本书的介绍吧!

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

html转js在线工具
html转js在线工具

html转js在线工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具