个人建设网站流程,学做网站在哪里,营销型网站制作价格,做五金建材市场的网站目录
API分类特征-SOAPOpenAPIRESTful
API分类特征
API常见漏洞
API检测流程
API检测项目-PostmanAPIKitXRAY
工具自动化-SOAP - WSDL
Postman 联动burpxray
APIKit插件(可联动xray)
工具自动化-OpenApi - Swagger
Postman 联动burpxray
APIKit…目录
API分类特征-SOAPOpenAPIRESTful
API分类特征
API常见漏洞
API检测流程
API检测项目-PostmanAPIKitXRAY
工具自动化-SOAP - WSDL
Postman 联动burpxray
APIKit插件(可联动xray)
工具自动化-OpenApi - Swagger
Postman 联动burpxray
APIKit插件(可联动xray)
工具自动化-RESTful - /v1/api/
手工发包测-vapi靶场
Postman 联动burpxray-vapi靶场
APIKit插件
SOAPSwaggerRESTful挖掘案例
SOAP-WSDL漏扫SQL注入-数据库权限
SOAP-WSDL泄漏密码获取接口-后台权限
OpenAPI-Swagger接口项目发包-越权信息泄漏 知识点 1、API分类特征-SOAPOpenAPIRESTful 2、API检测项目-PostmanAPIKitReadyAPI 部分项目下载 https://github.com/API-Security/APIKit https://github.com/lijiejie/swagger-exp https://github.com/jayus0821/swagger-hack
靶场和资源总结 https://github.com/roottusk/vapi https://github.com/API-Security/APISandbox https://github.com/arainho/awesome-api-security API分类特征-SOAPOpenAPIRESTful
API分类特征
SOAP - WSDL OpenApi - Swagger RESTful - /v1/api/ API常见漏洞
XSS跨站信息泄露暴力破解文件上传未授权访问JWT授权认证接口滥用、逻辑越权等 API检测流程
Method请求方法 攻击方式OPTIONS,PUT,MOVE,DELETE 效果上传恶意文件修改页面等
URL唯一资源定位符 攻击方式猜测遍历跳转 效果未授权访问等
Params请求参数 攻击方式构造参数修改参数遍历重发 效果爆破越权未授权访问突破业务逻辑等
Authorization认证方式 攻击方式身份伪造身份篡改 效果越权未授权访问等
Headers请求消息头 攻击方式拦截数据包改Hosts改Referer改Content-Type等 效果绕过身份认证绕过Referer验证绕过类型验证DDOS等
Body消息体 攻击方式SQL注入XML注入反序列化等 API检测项目-PostmanAPIKitXRAY
工具自动化-SOAP - WSDL Postman 联动burpxray 在运行之前需要在postman开启代理 APIKit插件(可联动xray) 工具自动化-OpenApi - Swagger
Postman 联动burpxray 提前设置好代理 https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack APIKit插件(可联动xray) 工具自动化-RESTful - /v1/api/ 手工发包测-vapi靶场
手工测试和工具自动化探测的点不一样手工偏逻辑工具自动化偏漏洞 API1-身份越权
ID值更改遍历用户信息 API4-手机验证码枚举 API5-接口遍历
更改URL地址尝试获取所有用户信息 API8-数据库注入 API9-V1/2多版本 V2无法爆破/V1爆破1655 Postman 联动burpxray-vapi靶场 APIKit插件 SOAPSwaggerRESTful挖掘案例
SOAP-WSDL漏扫SQL注入-数据库权限
1、发现SOAP接口 2、导入工具分析并扫描 3、发现存在SQL注入 4、利用当前接口进行数据包注入 SOAP-WSDL泄漏密码获取接口-后台权限
访问后台路由/admin/externalLogin重定向到/admin是后台的登陆界面 OpenAPI-Swagger接口项目发包-越权信息泄漏
