API安全学习笔记

最新推荐文章于 2025-02-23 18:33:26 发布
最新推荐文章于 2025-02-23 18:33:26 发布
阅读量2.4k 收藏 29
点赞数 25
文章标签: cocoa macos objective-c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hacker_LaoYi/article/details/144768083
版权

必要性

前后端分离已经成为web的一大趋势,通过Tomcat+Ngnix(也可以中间有个Node.js),有效地进行解耦。并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,车载终端,安卓,IOS等等)打下坚实的基础。而API就承担了前后端的通信的职责。所以学习api安全很有必要。
本文的思路在于总结一些api方面常见的攻击面。笔者在这块也尚在学习中,如有错误,还望各位斧正。

常见的api技术

GraphQL

GraphQL 是一个用于 API 的查询语言
通常有如下特征:
(1)数据包都是发送至/graphql接口
 


(2)其中包含了很多换行符\n

{"query":"\n    query IntrospectionQuery {\r\n      __schema {\r\n        queryType { name }\r\n        mutationType { name }\r\n        subscriptionType { name }\r\n        types {\r\n          ...FullType\r\n        }\r\n        directives {\r\n          name\r\n          description\r\n          locations\r\n          args {\r\n            ...InputValue\r\n          }\r\n        }\r\n      }\r\n    }\r\n\r\n    fragment FullType on __Type {\r\n      kind\r\n      name\r\n      description\r\n      fields(includeDeprecated: true) {\r\n        name\r\n        description\r\n        args {\r\n          ...InputValue\r\n        }\r\n        type {\r\n          ...TypeRef\r\n        }\r\n        isDeprecated\r\n        deprecationReason\r\n      }\r\n      inputFields {\r\n        ...InputValue\r\n      }\r\n      interfaces {\r\n        ...TypeRef\r\n      }\r\n      enumValues(includeDeprecated: true) {\r\n        name\r\n        description\r\n        isDeprecated\r\n        deprecationReason\r\n      }\r\n      possibleTypes {\r\n        ...TypeRef\r\n      }\r\n    }\r\n\r\n    fragment InputValue on __InputValue {\r\n      name\r\n      description\r\n      type { ...TypeRef }\r\n      defaultValue\r\n    }\r\n\r\n    fragment TypeRef on __Type {\r\n      kind\r\n      name\r\n      ofType {\r\n        kind\r\n        name\r\n        ofType {\r\n          kind\r\n          name\r\n          ofType {\r\n            kind\r\n            name\r\n            ofType {\r\n              kind\r\n              name\r\n              ofType {\r\n                kind\r\n                name\r\n                ofType {\r\n                  kind\r\n                  name\r\n                  ofType {\r\n                    kind\r\n                    name\r\n                  }\r\n                }\r\n              }\r\n            }\r\n          }\r\n        }\r\n      }\r\n    }\r\n  ","variables":null}

SOAP-WSDL

WSDL (Web Services Description Language,Web服务描述语言)是一种XML Application,他将Web服务描述定义为一组服务访问点,客户端可以通过这些服务访问点对包含面向文档信息或面向过程调用的服务进行访问

走的是SOAP协议,一般发送的xml格式的数据,然后会有WSDL文件
 


.net中常见的.asmx文件也有wsdl格式 xxx.asmx?wsdl
 


我们可以使用soapui对这类api进行测试

WADL

文件里面有很明显的wadl标志


同样也可以用soapui的rest功能进行测试

REST

rest api并不像前面几种那种特征明显,也是如今使用最多的一种api技术

REST 是一组架构规范,并非协议或标准。API 开发人员可以采用各种方式实施 REST。

当客户端通过 RESTful API 提出请求时,它会将资源状态表述传递给请求者或终端。该信息或表述通过 HTTP 以下列某种格式传输:JSON(Javascript 对象表示法)、HTML、XLT、Python、PHP 或纯文本。JSON 是最常用的编程语言,尽管它的名字英文原意为“JavaScript 对象表示法”,但它适用于各种语言,并且人和机器都能读。 

还有一些需要注意的地方:头和参数在 RESTful API HTTP 请求的 HTTP 方法中也很重要,因为其中包含了请求的元数据、授权、统一资源标识符(URI)、缓存、cookie 等重要标识信息。有请求头和响应头,每个头都有自己的 HTTP 连接信息和状态码。

获取端点的方式

对于api的一些安全测试,通常关注api的权限问题,api端点和基础设施的安全问题。
要测试api端点的安全问题,肯定得尽量获取多的api端点

swagger api-docs泄露

Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务
常见指纹:

# swagger 2
/swagger-ui.html
/api-docs
/v2/api-docs

# swagger 3
/swagger-ui/index.html

最低0.47元/天 解锁文章
Hacker_LaoYi
关注
Swagger2的/v2/api-docs接口是如何对第三方项目暴露的【实现原理】
reggergdsg的博客
12-02 1万+
Swagger2的/v2/api-docs接口是如何对第三方项目暴露的呢?也就是说jar包中如何暴露接口给第三方应用? 答案是:HandlerMapping swagger2实现了自己的HandlerMapping,在实现类PropertySourcedRequestMappingHandlerMapping中,把/v2/api-docs接口保存到了handlerMethods 集合。然后提供了访问/v2/api-docs接口的方法lookupHandlerMethod(String urlPath,
API key学习笔记
xiaomu_347的博客
06-05 4136
生成API key来调用API是为了安全、控制和管理API访问的。
API安全学习笔记(常见攻击面)
瓦罗兰特顶级C位的博客
12-27 1660
前后端分离已经成为web的一大趋势,通过Tomcat+Ngnix(也可以中间有个Node.js),有效地进行解耦。并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,车载终端,安卓,IOS等等)打下坚实的基础。而API就承担了前后端的通信的职责。所以学习api安全很有必要。
干货 | 常见的API接口漏洞总结
XMWS-IT
07-24 794
仍在开发中的 API 通常使用诸如 .如果您知道 API 现在正在使用 apiv3.org/admin 但 API 文档的一部分提到了 apiv1.org/admin,则可以尝试测试不同的端点以查看 apiv1 或 apiv2 是否仍处于活动状态。不幸的是,即使是善良的 API 使用者也会犯错误,从而导致应用程序受损。如果使用者可以在与其帐户相关的请求中包含其他参数(如帐户权限级别或敏感信息(如帐户余额),并且应用程序接受这些参数而不根据允许操作的白名单检查它们,则使用者可以利用此弱点来更改这些值。
工作留档(一) --信息泄露漏洞修复
YANXS1的博客
12-05 2327
问题:在系统用户管理界面,初始化用户列表时,响应包中返回账户及经过md5加密过后的密码信息。解密过后能够获得真实的用户密码并可登陆; 导致原因:返回数据的时候,直接放的对象。 解决方案:在查询时,把对象中的密码设为空字符串,前台返回的则为空的字符串,不存在暴露风险。因为密码字段在本功能中,没有影响。 ...
swagger泄露api漏洞的挖掘
最新发布
w2361734601的博客
02-23 1402
Swagger(现称OpenAPI)作为API设计和文档工具,若配置不当可能导致API信息泄露,攻击者可借此发现潜在攻击面。默认暴露路径:Swagger UI默认通过/swagger-ui.html、/v2/api-docs等路径暴露API文档。nuclei -t exposures/apis/swagger-api.yaml -u 目标URL。这两天在学spring框架的漏洞,在网上找这种框架时发现某个站点存在Swagger的API泄露。curl http://目标域名/swagger-ui.html。
Java基础 学习笔记 Markdownr版
06-27
学习笔记主要涵盖了Java的基础知识,包括面向对象、集合、IO流、多线程、反射与动态代理以及Java 8的新特性等方面,旨在帮助初学者或有经验的开发者巩固和提升Java编程技能。 1. 面向对象(OOP):Java的核心是...
尚医通学习笔记,尚医通学习笔记
07-08
《尚医通学习笔记》是针对尚医通平台的学习资料,涵盖了使用Java和SpringCloud进行系统开发的相关知识。本文将详细解析这些知识点,帮助读者深入理解如何在医疗信息化领域运用这些技术。 首先,我们来了解一下Java...
java学习笔记markdown
03-12
【Java学习笔记Markdown版】是针对Java初学者和进阶者的一份详尽教程,以Markdown格式编写,便于阅读和整理。Markdown是一种轻量级的标记语言,它允许用户使用易读易写的纯文本格式编写文档,然后转换成结构化的HTML...
spring boot解决swagger中的v2/api-docs泄露漏洞
爱米酱的博客
01-07 1046
spring boot解决swagger中的v2/api-docs泄露漏洞
【渗透工具】Swagger API 信息泄露漏洞 工具篇
TT小子的博客
11-20 2076
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。Swagger-UI会根据开发人员在代码中的设置来自动生成API说明文档,若存在相关的配置缺陷,攻击者可以未授权翻查Swagger接口文档,得到系统功能API接口的详细参数,再构造参数发包,通过回显获取系统大量的敏感信息。
API接口安全
congsec的博客
08-21 1527
通常在网站的通讯中,很多会调用api接口去方便更多信息的管理与调用,但是当使用某些api时,在开发人员未对api接口做出访问策略限制或其他的加固,会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露,或者其他的sql注入等等安全问题WSDL是一个用于精确描述Web服务的文档,WSDL文档是一个遵循WSDL-XML模式的XML文档。WSDL 文档将Web服务定义为服务访问点或端口的集合。
API接口漏洞利用及防御
MachineGunJoe666
09-13 678
未经身份验证和授权访问:API接口没有进行适当的身份验证和授权验证,导致攻击者可以直接访问敏感数据或执行未经授权的操作。这种漏洞可能是由于弱密码、缺少访问令牌或缺乏强制访问控制机制导致的。不正确的访问控制:API接口未正确实施访问控制机制,允许攻击者越权访问受限资源。这可能包括缺少角色验证、错误配置的权限策略或漏洞的访问控制列表(ACL)配置。敏感信息泄露API接口在响应中返回了敏感信息,如数据库连接字符串、用户凭据、私钥等。攻击者可以利用这些信息进行进一步的攻击,例如数据库注入、身份盗窃等。
Swagger 信息泄露利用工具
qq_16224495的博客
05-09 5700
Swagger API Exploit 1.1 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在本地监听一个Web Server,打开Swagger UI界面,供分析接口使用
这可能是全网把Spring Boot信息泄露讲的最清楚的文章,毕竟出自阿里P7架构师之手
文章中资料均可获取,有需要请添加yunduoa2019即可
09-10 2823
一、路由地址及接口调用详情泄漏 开发环境切换为线上生产环境时,相关人员没有更改配置文件或忘记切换配置环境,导致此漏洞 直接访问以下几个路由,验证漏洞是否存在: /api-docs /v2/api-docs /swagger-ui.html 一些可能会遇到的接口路由变形: /api.html /sw/swagger-ui.html /api/swagger-ui.html /template/swagger-ui.html /spring-security-rest/api/swa..
干掉Swagger,最简单的接口文档工具类JApiDocs
weixin_45281605的博客
03-11 399
ApiDocs是一个无需额外注解、开箱即用的SpringBoot接口文档生成工具。 编写和维护API文档这个事情,对于后端程序员来说,是一件恼人但又不得不做的事情,我们都不喜欢写文档,但除非项目前后端代码都是自己写的,否则API文档将是前后端协作中一个不可或缺的沟通界面。既然不可避免,那就想办法弄个轮子吧。人生苦短,必须偷懒。 无图无真相,生成文档的效果如下: 相比Swagger要写一堆注解,Spring RestDocs需要写测试用例,才能生成API文档。JApiDocs 具有无痛集..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值