2024年API接口排泄测试_api接口,泄漏服务器版本信息吗(2),2024年最新一位
https://img-blog.csdnimg.cn/img_convert/8b66fbe9052358553e8a81e865a8d983.pnghttps://img-blog.csdnimg.cn/img_convert/e4e830e5f40d29bacc9fc80150fef5ca.png
网上学习资料一大堆,但假如学到的知识不成体系,遇到题目时只是浅尝辄止,不再深入研究,那么很难做到真正的技能提拔。
需要这份体系化的资料的朋友,可以戳这里获取
一个人可以走的很快,但一群人才气走的更远!岂论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技能交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
爬虫
2.1.2 测试工具
涉及主要工具:
[*]Soap UI PRO,排泄测试流程的发起,通讯报文的解析、集合payload之后通讯报文的重新组装等,14天试用,可以做自动化测试。
[*]SoapUI Free,手工测试
[*]SOAPSonar,SOAP UI 的替代。
[*]Burp Suite,代理拦截,跟踪通讯过程和效果,对通讯举行重放和二次处理等。
[*]WSSAT
[*]WS-Attacker
2.1.3 测试项目
[*]Fuzzing
[*]XSS /SQLi/ Malformed XML
[*]File Upload
[*]Xpath Injection
[*]XML Bomb (DoS)
[*]Authentication based attacks
[*]Replay attacks
[*]Session fixation
[*]XML Signature wrapping
[*]Session timeout
[*]Host Cipher Support/ Valid Certificate/ Protocol Support
[*]Hashing Algorithm Support
2.1.4 手工测试方法
主要利用 Soap UI Open Source,有安全测试Case,需要配置 SOAP 代理到 Burp,数据流,现在的版本是5.4.0。
https://img-blog.csdnimg.cn/20190228172856575.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
代理配置
https://img-blog.csdnimg.cn/20190228172916990.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
可以用 Burp 重放 SOAP 的探测 Payload。
利用 Soap UI Open Source,测试步调:
[*]创建工作空间
[*]新建 SOAP 项目
[*]增加 WSDL,配置名称和 WSDL 链接
[*]选择要测试的 TestSuite,增加一个安全测试
https://img-blog.csdnimg.cn/20190228172942749.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
2.1.5 自动化测试
SOAP 配置,2步,“File”-“Preference”-“Proxy”,设置 Burp 代理
https://img-blog.csdnimg.cn/20190228173044604.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
直接在 Soup UI 主菜单上选择运行一个测试。
https://img-blog.csdnimg.cn/20190228173026168.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
在弹出窗口中输入 WSDL 地点。
https://img-blog.csdnimg.cn/20190228173123834.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
SUAP UI 会自动探测接口。然后在项目-测试Case的右键菜单中选择安全测试
https://img-blog.csdnimg.cn/20190228173143673.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
运行安全测试。
https://img-blog.csdnimg.cn/20190228173205556.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
Burp 代理会捕获所有的测试哀求
https://img-blog.csdnimg.cn/20190228173253105.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
其他工具介绍
WSSAT,选择加载存在 WSDL 列表的文件,运行。
https://img-blog.csdnimg.cn/20190228173311575.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
WS-Attacker
https://img-blog.csdnimg.cn/20190228173334474.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
AWVS 的扫描也能直接测试 Web Service
2.2 RESTful API 测试
2.2.1 测试工具
常见的浏览器插件
[*]Chrome Restlet Client
https://img-blog.csdnimg.cn/20190228173401423.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
[*]Firefox RESTClient
https://img-blog.csdnimg.cn/20190228173419315.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
客户端工具
[*]Postman
https://img-blog.csdnimg.cn/20190228173446835.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
[*]Swagger
通常利用 Postman 的情况多些,有机会的话问下开辟怎样配置测试情况,直接配置一套一样的。
Postman 的代理配置:
https://img-blog.csdnimg.cn/20190228173529184.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ZseV9ocHM=,size_16,color_FFFFFF,t_70
3 常见 API 干系漏洞和测试方法
还是主要以 Restful API 阐明。
3.1 逻辑越权类
本质上可以说是不安全的直接对象引用,可以通过修改可猜测的参数获取不同参数下的响应效果。参数可以是用户名、用户 ID,连续的数字,变形的连续数字(各种编码或哈希),通过直接修改参数值完成越权的操作。
示例:
[*]https://wooyun.shuimugan.com/bug/view?bug_no=189225
[*]https://wooyun.shuimugan.com/bug/view?bug_no=150462
[*]https://wooyun.shuimugan.com/bug/view?bug_no=140374
[*]https://wooyun.shuimugan.com/bug/view?bug_no=106709
3.2 输入控制类
XXE,Restful API 的注入漏洞,XSS,溢出,特别字符的处理。
示例:
[*]https://wooyun.shuimugan.com/bug/view?bug_no=211103
[*]https://wooyun.shuimugan.com/bug/view?bug_no=132270
[*]https://wooyun.shuimugan.com/bug/view?bug_no=8714
3.3 接口滥用
没有哀求频率限制导致的各种爆破和遍历,如短信验证码爆破、登录爆破、手机号遍历、身份证遍历等。
示例:
[*]https://wooyun.shuimugan.com/bug/view?bug_no=141419
[*]https://wooyun.shuimugan.com/bug/view?bug_no=66571
[*]https://wooyun.shuimugan.com/bug/view?bug_no=36058
[*]https://wooyun.shuimugan.com/bug/view?bug_no=147334
3.4 信息泄漏
包括越权导致的信息泄漏、畸形哀求导致的报错响应。
示例:
[*]https://wooyun.shuimugan.com/bug/view?bug_no=171313
[*]https://wooyun.shuimugan.com/bug/view?bug_no=160095
[*]https://wooyun.shuimugan.com/bug/view?bug_no=127457
3.5 HTTP 响应头控制
关于响应头:
[*]发送 X-Content-Type-Options: nosniff 头。
[*]发送 X-Frame-Options: deny 头。
[*]发送 Content-Security-Policy: default-src ‘none’ 头。
[*]删除指纹头 - X-Powered-By, Server, X-AspNet-Version 等等。
[*]在响应中逼迫利用 content-type。
https://img-blog.csdnimg.cn/img_convert/86dc8f29231934a465d3cedc01bc4dbf.png
https://img-blog.csdnimg.cn/img_convert/356ca0de1c490a50c96fe0605079c329.png
网上学习资料一大堆,但假如学到的知识不成体系,遇到题目时只是浅尝辄止,不再深入研究,那么很难做到真正的技能提拔。
需要这份体系化的资料的朋友,可以戳这里获取
一个人可以走的很快,但一群人才气走的更远!岂论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技能交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
520422)]
网上学习资料一大堆,但假如学到的知识不成体系,遇到题目时只是浅尝辄止,不再深入研究,那么很难做到真正的技能提拔。
需要这份体系化的资料的朋友,可以戳这里获取
一个人可以走的很快,但一群人才气走的更远!岂论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技能交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]