概述

什么是接口？

接口是后端設(shè)計(jì)的一套供給第三方使用的方法
舉個(gè)例子，fofa提供了第三方api接口來進(jìn)行調(diào)用，使用查詢語法獲取資產(chǎn)目標(biāo)資產(chǎn)信息
輸入相關(guān)參數(shù)進(jìn)行調(diào)用
API安全就是圍繞著這一個(gè)接口進(jìn)行的，可能存在的漏洞包括：SQL注入、身份驗(yàn)證、信息泄漏、XSS跨站等

1、API分類特征

SOAP - WSDL

Web Service是基于網(wǎng)絡(luò)的、分布式的模塊化組件，通過 Web 進(jìn)行發(fā)布、查找和使用**。**是應(yīng)用程序組件使用開放協(xié)議進(jìn)行通信， 是獨(dú)立的（self-contained）并可自我描述， 可通過使用UDDI來發(fā)現(xiàn)，可被其他應(yīng)用程序使用。
交互過程
Web Services 都是放在Web服務(wù)器（如IIS）的。
WebService服務(wù)器端首先要通過一個(gè)WSDL文件來說明自己有什么服務(wù)可以對(duì)外調(diào)用，并注冊(cè)到UDDI服務(wù)器，以便被人查找。
客戶根據(jù) WSDL 描述文檔，使用XML封裝一個(gè) SOAP 請(qǐng)求消息，嵌入在一個(gè)HTTP POST請(qǐng)求中，發(fā)送到 Web 服務(wù)器來。
Web 服務(wù)器再把這些請(qǐng)求轉(zhuǎn)發(fā)給 Web Services 請(qǐng)求處理器。
由請(qǐng)求處理器解析收到的 SOAP 請(qǐng)求，調(diào)用 Web Services，然后再生成相應(yīng)的 SOAP 應(yīng)答。
Web 服務(wù)器得到 SOAP 應(yīng)答后，會(huì)再通過 HTTP應(yīng)答的方式把信息送回到客戶端。

Web services 三種基本元素：

uudl用于提供發(fā)布和查詢webservice方法
wsdl是webservice服務(wù)描述語言，用于web服務(wù)說明，它是一個(gè)xml文檔，用于說明一組soap消息如何訪問接口
soap是簡單對(duì)象訪問協(xié)議，用于分布式環(huán)境的基于信息交換的同行協(xié)議，描述傳遞信息的格式和規(guī)范，它可以用于連接web服務(wù)和客戶端之間的接口，是一個(gè)可以在不同操作系統(tǒng)上運(yùn)行的不同語言編寫的程序之間的傳輸通信協(xié)議，格式為xml，soap消息

OpenApi - Swagger UI

Springboot Actuator

同時(shí)也可以測(cè)一測(cè)heapdump泄漏以及相關(guān)命令執(zhí)行漏洞

2、API檢測(cè)流程

接口發(fā)現(xiàn)，遵循分類，依賴語言，V1/V2多版本等

Method：請(qǐng)求方法

攻擊方式：OPTIONS,PUT,MOVE,DELETE
效果：上傳惡意文件，修改頁面等

URL：唯一資源定位符

攻擊方式：猜測(cè)，遍歷，跳轉(zhuǎn)
效果：未授權(quán)訪問等

Params：請(qǐng)求參數(shù)

攻擊方式：構(gòu)造參數(shù)，修改參數(shù)，遍歷，重發(fā)
效果：爆破，越權(quán)，未授權(quán)訪問，突破業(yè)務(wù)邏輯等

Authorization：認(rèn)證方式

攻擊方式：身份偽造，身份篡改
效果：越權(quán)，未授權(quán)訪問等

Headers：請(qǐng)求消息頭

攻擊方式：攔截?cái)?shù)據(jù)包，改Hosts，改Referer，改Content-Type等
效果：繞過身份認(rèn)證，繞過Referer驗(yàn)證，繞過類型驗(yàn)證，DDOS等
Body：消息體
攻擊方式：SQL注入，XML注入，反序列化等
效果：提權(quán)，突破業(yè)務(wù)邏輯，未授權(quán)訪問等

3、API檢測(cè)項(xiàng)目

Ready API

需要自行破解使用，只適用于windows，導(dǎo)入接口url就可以進(jìn)行安全測(cè)試，漏洞類型覆蓋廣，就是測(cè)試時(shí)間周期較長
測(cè)試結(jié)果以報(bào)告形式展示

Postman 聯(lián)動(dòng)Xray

postman設(shè)置代理轉(zhuǎn)發(fā)
效果如圖

APIKIT Burp插件

具體使用

相關(guān)配置
進(jìn)行接口fuzz測(cè)試

補(bǔ)一個(gè)案例

vapi靶場搭建

靶場搭建
搭建完成后
后面整體靶場測(cè)試過程留在下一篇blog中……

相關(guān)項(xiàng)目鏈接

https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack

部分項(xiàng)目下載：
https://github.com/SmartBear/soapui
https://github.com/API-Security/APIKit
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack
靶場和資源總結(jié)：
https://github.com/roottusk/vapi
https://github.com/API-Security/APISandbox
https://github.com/arainho/awesome-api-security

參考

https://blog.csdn.net/comeonmao/article/details/125708415
https://blog.csdn.net/m0_52526329/article/details/132022540文章來源地址http://www.zghlxwxcb.cn/news/detail-726946.html

到了這里，關(guān)于API攻防-接口安全&SOAP&OpenAPI&RESTful&分類特征導(dǎo)入&項(xiàng)目聯(lián)動(dòng)檢測(cè)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！