内容简介:API渗透测试是一种常见的攻击面,攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中,我会讲到API渗透测试的一些基础知识。1. API渗透测试是什么?2. API请求和响应的结构?
API渗透测试概述
API渗透测试是一种常见的攻击面,攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中,我会讲到API渗透测试的一些基础知识。
本文分为下面三部分:
1. API渗透测试是什么?
2. API请求和响应的结构?
3. 渗透测试的方法,工具和案例?
API渗透测试详情
API渗透测试与 web应用程序渗透测试 方法相同。虽然测试方法类似,但是在攻击上还是有一些变化的,因此,我们要找出API的一些标准漏洞,就跟Web中的Owasp Top10一样,包括:注入,访问控制,信息泄露,IROR(不安全的对象直接引用),XSS等。
API安全认证基础
API认证和会话管理
当我们开始查看API时,我会首先想要知道API认证和会话管理是如何处理的。开发者们通常使用HTTP basic,Digest身份认证和JSON Web Token引入。现在又多了oAuth这种方式,这种方法实现授权,认证和会话管理非常简单。oAuth提供了会过期的无记名令牌,这让攻击者在认证模块中挖掘漏洞更加困难。如何识别API中的认证Tokens?很简单,如下图所示:
API设计和结构
现在的很多应用使用API来调用微服务或者执行某些动作或者监视用户的行为。这种API设计和结构对于客户和应用程序用户都是公开的,由于这一点,攻击者能够理解API的结构并利用此信息来进一步攻击API。
REST API使用不同的处理请求,比如GET,POST,PUT,DELETE,HEAD和PATCH操作等。攻击者可以修改请求头来理解API,并利用这种理解来构造有效的攻击exp。处理请求也可以进行修改,不过最好的做法是处理请求不能被篡改或修改。下图是处理请求的一个例子,请注意看服务器对于请求所做出的响应:
API渗透测试 工具 推荐
下列工具在API应用的渗透测试过程中经常使用到。在手工渗透测试中推荐使用,这些工具网上都有免费的。
1. Swagger-Editor
2. Postman
3. Burpsuite
据Google称:Swagger对于整个API生命周期开发都有帮助,从设计和文档到测试和部署。
Swagger的作用是转换OpenAPI文档为JSON或者YAML格式,Swagger还可以帮助你为每一个API端点创建请求。而且,还能够导入Swagger文件到postman中,有关postman使用文档,请戳 这里 阅读。一旦我们获得目标的完整信息和请求,然后我们就可以在postman和Swagger中修改host。这些设置有助于进行API渗透测试。
如何挖掘API漏洞?
仔细阅读客户提供的文档来了解攻击面。开发人员指南可以为我们提供API内部的更多信息。如果没有提供文档或者API部署在运行中的服务器中,那么我们就需要用代理来抓取所有API请求。在每个API请求中彻底的识别POST和GET请求,当我们理解了API请求后,记录下那些可能存在安全问题的点。以下是常规漏洞的基础测试点:
OWASP 2017测试点:
1. 观察API每个模块中的每一个参数,理解数据是如何从源传输到目标的。试着修改参数来对它进行一些测试。
2. 识别API是否具有任何的授权token,如果有,尝试删除这个授权token,看看应用程序的响应。在有些情况下,如果授权处理不当的话,API可能允许你访问应用程序禁止访问的资产。
3. 使用访问权限不同的用户登陆,如admin,操作员和普通用户,并分析并检查每一个模块。
4. 检查是否可以通过受限制的用户访问管理模块。
5. 识别可能存在IDOR(不安全的对象直接引用)漏洞的参数,比如id=1234,并且查找cookies中是否有可以进行修改的ID参数。
6. 在请求中的所有参数中插入特殊字符来测试是否存在注入漏洞,查看服务器的响应。如果发现任何堆栈报错信息,分析该信息并进一步进行利用。
7. 在所有参数中插入”<”,”>”,查看响应,应用程序是否进行转义还是直接输出。如果应用程序没有对任何特殊字符进行转义,那么该应用程序可能存在XSS攻击。
8. 修改content-type服务器头来理解XML实体注入攻击。例如,修改Application/JSON为application/XML,并且插入XML实体payload来查找XXE漏洞。
本文是一篇关于API渗透测试基础的介绍。更多关于web services和API渗透测试内容,请阅读这两篇文章。
http://blog.securelayer7.net/web-services-api-penetration-testing-part-1/
http://blog.securelayer7.net/web-services-api-penetration-testing-part-2/
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。