接口测试系列之——接口安全测试，收藏这篇就够了

原创于 2025-11-10 09:15:00 发布 · 913 阅读

15 ·

CC 4.0 BY-SA版权

文章标签：

#android #数据仓库 #数据库

程序员同时被 3 个专栏收录

1678 篇文章

订阅专栏

计算机

1665 篇文章

订阅专栏

运维

323 篇文章

订阅专栏

Testerhome社区爱好者合力编写了《2021接口测试白皮书》，并于今年2月底发布。本文节选自其中的的「安全测试」章节。

“开源 Web 应用安全项目”(OWASP)在 2019 年发布了 API 十大安全风险《OWASP API 安全 Top10》：失效的对象级别授权、失效的用户身份验证、过度的数据暴露、资源缺乏和速率限制、失效的功能级授权、批量分配、安全配置错误、注入、资产管理不当、日志和监视不足位列其中。我们以此为依据对 API十大安全风险进行介绍。

▌****失效的对象级别授权

失效的对象级别授权是指:用户与服务器使用 API 进行通信时，服务器端未进行对象级别的权限控制或限制不严格。攻击者可以通过修改请求数据中的对象ID 等信息，实现未授权获取或修改敏感信息。

案例:在使用某个功能时通过用户提交的对象 ID(如订单号、记录号)来访问或操作对应的数据，且未进行严格的权限限制。

如下图所示，正常订单查询请求:

如下图所示，使用 burpsuite 对 oid 参数进行遍历，尝试越权访问他人订单详情，可以看到成功查看到了他人订单信息:

▌****失效的用户身份验证

失效的用户身份验证是指:API 在访问时未对请求方进行身份验证或身份验证存在问题导致易被破解，那么攻击者可以实现未授权对 API 进行操作。

案例：

1. 未校验令牌的有效性;

2. 更新密码接口未限制请求频率，旧密码参数可暴力破解;
3. 短信验证码或者邮箱验证码有效期超出 10 分钟或者长度小于 6 位。

▌****过度的数据暴露

发生过度数据暴露的主要原因之一是，开发人员和编码人员对他们的应用程序将使用的数据种类没有足够的洞察力。正因为如此，开发人员倾向于利用通用流程，在这种流程中，所有的对象属性都暴露给最终用户。

例如：

利用过度暴露的数据十分容易，通常通过嗅探流量分析 API 的响应获取不应该返回给用户的多余敏感信息。

防御:

不要依赖客户端来过滤敏感数据;
检查 API 的响应，确认其中仅包含合法数据;
停止用通用 API 向用户发送一切的过程也很重要。例如，必须避免将所有信息直接执行 to_json()和 to_string()，然后发送给客户端。应该专门挑选需要返回给授权用户的属性，并专门发送这些信息;
对于敏感数据应使用加密技术进行保护。这样，即使该数据的位置作为过度数据暴露漏洞的一部分被泄露出去，也有一个良好的第二道防线，即使数据落入恶意用户或威胁行为者手中，也能保护数据。

▌****资源缺乏和速率限制

随着资源的缺乏和速率的限制，每个 API 都有有限的资源和计算能力，这取决于它的环境。大多数还需要处理来自用户或其他程序的请求，要求它执行所需的功能。当有太多的请求同时进来，而 API 没有足够的计算资源来处理这些请求时，就会出现这种漏洞。然后，API 可能变得不可用或对新的请求没有反应。

如果 API 的速率或资源限制没有被正确设置，或者限制没有在代码中被定义，那么 API 就很容易出现这个问题。

具体案例如下图所示：

上述代码没有进行限制，我们可以通过短时间大量无限请求/api/users 访问所有的用户，造成其他客户端请求无法相应的问题。

修改后：

API 将限制匿名用户每小时发出 200 次请求，已经被系统审核过的已知用户会有更大的回旋余地，每小时有 5000 个请求，但即使是他们也受到限制，以防止在高峰期意外超载，或者在用户账户被泄露并被用于拒绝服务攻击时进行补偿。

对用户调用 API 的频率执行明确的时间窗口限制，定义并强制验证所有传入参数和有效负荷的最大数据量，例如字符串的最大长度和数组中元素的最大数量。在突破限制时通知客户，并提供限制数量及限制重置的时间。

▌****失效的功能级授权

失效的功能级授权漏洞允许用户执行应该被限制的功能，或者让他们访问应该被保护的资源。

如下图所示，攻击者为站点普通用户权限，通过经验对站点可能存在的管理功能 URL 进行猜测，多次尝试之后发现本应无权访问的 admin_statuspage 页面可以访问成功：

如下图所示攻击者为站点普通权限用户，站点使用已知框架，攻击者查阅新建管理用户功能需发送的数据包详情，并构造数据包进行发送，发现可以新建用户成功。

防止这种 API 漏洞尤其重要，因为攻击者不难找到结构化 API 中未受保护的函数，因此所有业务层面的功能都必须使用基于角色的授权方法进行保护。一定要在服务器上实现授权，不能试图从客户端保证功能的安全。在创建功能和资源级别时，用户应该只被赋予做它们需要的事情的权限，实践最小权限的方法。

▌****批量分配

后端应用对象可能包含许多属性，其中一些属性可以由客户端直接更新(如，user.firstname 或 user.address)，而某些属性则不应该更新(如，user.isvip 标志)。

案例：

一个乘车共享应用程序为用户提供了编辑个人资料基本信息的选项。用户可以更新“user_name”、“age”两个参数。

PUT /api/v1/users/me
{“user_name”:“inons”,“age”:24}
发现/api/v1/users/me 接口返回一个附加“credit_balance”参数:

GET/api/v1/users/me {“user_name”:“inons”,“age”:24,“credit_balance”:10}

攻击者构造报文，重放第一个请求:

PUT/api/v1/users/me {“user_name”:“attacker”,“age”:60,“credit_balance”:99999}

攻击者无需支付即可篡改自己的信用值。

如何防止：

1. 如果可能，请避免使用将客户输入自动绑定到代码变量或内部对象中的函数;2. 仅将客户端可更新的属性列入白名单;
3. 使用内置功能将客户端不应访问的属性列入黑名单;
4. 如果可能，为输入数据有效负载准确、明显的定义和实施 schema 格式。

▌****安全配置错误

概述：

安全配置错误可以发生在一个应用程序堆栈的任何层面，包括平台、Web服务器、应用服务器、数据库、框架和自定义代码。

案例：

比如攻击者在服务器的根目录下找到.bash_history 文件，该文件包含DevOps 团队用于访问 API 的命令:

$ curl -X GET ‘https://api.server/endpoint/’ -H ‘authorization: Basic Zm9vOmJhcg==’，攻击者可由此命令获取权限认证信息(Zm9vOmJhcg== base64 解码:foo:bar)以及接口信息。

▌****注入

概述：

服务端未对客户端提供的数据进行验证、过滤或净化，数据直接使用或者拼接到 SQL/NoSQL/LDAP 查询语句、 OS 命令、XML 解释器和 ORM(对象关系映射器)/ODM(对象文档映射器)中，产生注入类攻击。

案例：
判断服务端是否支持 XML 解析，如果支持，可以尝试 XML 注入。

<?xml version="1.0" encoding="utf-8"?>

]>
&entityex;
API 未对来自外部系统(如，集成系统)的数据进行验证、过滤或净化。

▌****资产管理不当

不当的资产管理缺陷是现代的产物，以业务速度前进的组织有时每天都能旋转出成百上千的服务和微服务。这通常是快速完成的，而且没有创建任何的附带文档，也没有解释相关的 API 是用来做什么的，需要多长时间或其重要性。这可能会快速产生 API 蔓延，随着时间的推移可能会变得无法控制，特别是如果没有全面的政策来定义 API 可以存在多久。这种环境下，很有可能一些 API 会丢失、被遗忘或者未销毁。

这就导致了如果资产管理不当会直接导致攻击者可以访问敏感数据，甚至可以通过旧的、未打补丁的 API 版本连接到同一数据库。

如何消除不当的资产管理缺陷:应该做到对所有的 API、他们的用途和版本进行严格的盘点。主要关注因素包括，部署到什么环境中，如生产或开发，谁应该对它们有网络访问权限、收集和处理哪些数据，是常规数据还是敏感数据、API

的存活时间、当然还有它们的版本。一旦完成，需要实施一个流程，将文档添加到任何新创建的 API 或服务中。这应该包括 API 的所有方面，包括速率限制、如何请求和相应、资源共享、可以连接到哪些端点、以及它任何以后需要审计的内容，还需要避免在生产中使用非生产 API，考虑给 API 增加一个时间限制等。

▌****日志和监视不足

如果没有日志和监视，或者日志和监视不足，就会导致无法及时发现攻击者的恶意活动，同时也就无法快速定位跟踪可疑活动并作出及时响应，给攻击者留有足够的时间来破坏系统。

API 的脆弱项：

没有生成任何日志、日志级别没有正确设置、或日志消息缺失足够的细节信息;
不能保证日志的完整性;
没有对日志进行持续监视;
API 基础设施没有被持续监视。

建议：
1. 应该有一个记录各种认证和授权事件的系统，比如登陆失败、暴力攻击、访问敏感数据等;

2. 必须建立有效的监测和警报系统，此系统能够发现可疑活动并作出及时反应;

3. 日志应保证有足够的详细信息记录攻击者的行为，识别恶意活动;
4. 如果出现问题，必须通知相关团队。5.必须采用行业标准制定事故相应和恢复计划。

最后感谢每一个认真阅读我文章的人，看着粉丝一路的上涨和关注，礼尚往来总是要有的，虽然不是什么很值钱的东西，如果你用得到的话可以直接拿走

这两年，IT行业面临经济周期波动与AI产业结构调整的双重压力，确实有很多运维与网络工程师因企业缩编或技术迭代而暂时失业。

很多人都在提运维网工失业后就只能去跑滴滴送外卖了，但我想分享的是，对于运维人员来说，即便失业以后仍然有很多副业可以尝试。

运维网工测试副业方向

运维，千万不要再错过这些副业机会！

第一个是知识付费类副业：输出经验打造个人IP

在线教育平台讲师

操作路径：在慕课网、极客时间等平台开设《CCNA实战》《Linux运维从入门到精通》等课程，或与培训机构合作录制专题课。
收益模式：课程销售分成、企业内训。

技术博客与公众号运营

操作路径：撰写网络协议解析、故障排查案例、设备评测等深度文章，通过公众号广告、付费专栏及企业合作变现。
收益关键：每周更新2-3篇原创，结合SEO优化与社群运营。

第二个是技术类副业：深耕专业领域变现

企业网络设备配置与优化服务

操作路径：为中小型企业提供路由器、交换机、防火墙等设备的配置调试、性能优化及故障排查服务。可通过本地IT服务公司合作或自建线上接单平台获客。
收益模式：按项目收费或签订年度维护合同。

远程IT基础设施代维

操作路径：通过承接服务器监控、日志分析、备份恢复等远程代维任务。适合熟悉Zabbix、ELK等技术栈的工程师。
收益模式：按工时计费或包月服务。

网络安全顾问与渗透测试

操作路径：利用OWASP Top 10漏洞分析、Nmap/BurpSuite等工具，为企业提供漏洞扫描、渗透测试及安全加固方案。需考取CISP等认证提升资质。
收益模式：单次渗透测试报告收费；长期安全顾问年费。

比如不久前跟我一起聊天的一个粉丝，他自己之前是大四实习的时候做的运维，发现运维7*24小时待命受不了，就准备转网安，学了差不多2个月，然后开始挖漏洞，光是补天的漏洞奖励也有个四五千，他说自己每个月的房租和饭钱就够了。

在这里插入图片描述

为什么我会推荐你网安是运维人员的绝佳副业&转型方向?

1.你的经验是巨大优势: 你比任何人都懂系统、网络和架构。漏洞挖掘、内网渗透、应急响应，这些核心安全能力本质上是“攻击视角下的运维”。你的运维背景不是从零开始，而是降维打击。

2.越老越吃香，规避年龄危机: 安全行业极度依赖经验。你的排查思路、风险意识和对复杂系统的理解能力，会随着项目积累而愈发珍贵，真正做到“姜还是老的辣”。

3.职业选择极其灵活: 你可以加入企业成为安全专家，可以兼职“挖洞“获取丰厚奖金，甚至可以成为自由顾问。这种多样性为你提供了前所未有的抗风险能力。

4.市场需求爆发，前景广阔: 在国家级政策的推动下，从一线城市到二三线地区，安全人才缺口正在急剧扩大。现在布局，正是抢占未来先机的黄金时刻。

在这里插入图片描述

运维网工测试转行学习路线

在这里插入图片描述

（一）第一阶段：网络安全筑基

1. 阶段目标

你已经有运维经验了，所以操作系统、网络协议这些你不是零基础。但要学安全，得重新过一遍——只不过这次我们是带着“安全视角”去学。

2. 学习内容

**操作系统强化：**你需要重点学习 Windows、Linux 操作系统安全配置，对比运维工作中常规配置与安全配置的差异，深化系统安全认知（比如说日志审计配置，为应急响应日志分析打基础）。

**网络协议深化：**结合过往网络协议应用经验，聚焦 TCP/IP 协议簇中的安全漏洞及防护机制，如 ARP 欺骗、TCP 三次握手漏洞等（为 SRC 漏扫中协议层漏洞识别铺垫）。

**Web 与数据库基础：**补充 Web 架构、HTTP 协议及 MySQL、SQL Server 等数据库安全相关知识，了解 Web 应用与数据库在网安中的作用。

**编程语言入门：**学习 Python 基础语法，掌握简单脚本编写，为后续 SRC 漏扫自动化脚本开发及应急响应工具使用打基础。

**工具实战：**集中训练抓包工具（Wireshark）、渗透测试工具（Nmap）、漏洞扫描工具（Nessus 基础版）的使用，结合模拟场景练习工具应用（掌握基础扫描逻辑，为 SRC 漏扫工具进阶做准备）。

（二）第二阶段：漏洞挖掘与 SRC 漏扫实战

1. 阶段目标

这阶段是真正开始“动手”了。信息收集、漏洞分析、工具联动，一样不能少。

熟练运用漏洞挖掘及 SRC 漏扫工具，具备独立挖掘常见漏洞及 SRC 平台漏扫实战能力，尝试通过 SRC 挖洞搞钱，不管是低危漏洞还是高危漏洞，先挖到一个。

2. 学习内容

信息收集实战：结合运维中对网络拓扑、设备信息的了解，强化基本信息收集、网络空间搜索引擎（Shodan、ZoomEye）、域名及端口信息收集技巧，针对企业级网络场景开展信息收集练习（为 SRC 漏扫目标筛选提供支撑）。

漏洞原理与分析：深入学习 SQL 注入、CSRF、文件上传等常见漏洞的原理、危害及利用方法，结合运维工作中遇到的类似问题进行关联分析（明确 SRC 漏扫重点漏洞类型）。

工具进阶与 SRC 漏扫应用：

系统学习 SQLMap、BurpSuite、AWVS 等工具的高级功能，开展工具联用实战训练；
专项学习 SRC 漏扫流程：包括 SRC 平台规则解读（如漏洞提交规范、奖励机制）、漏扫目标范围界定、漏扫策略制定（全量扫描 vs 定向扫描）、漏扫结果验证与复现；
实战训练：使用 AWVS+BurpSuite 组合开展 SRC 平台目标漏扫，练习 “扫描 - 验证 - 漏洞报告撰写 - 平台提交” 全流程。
SRC 实战演练：选择合适的 SRC 平台（如补天、CNVD）进行漏洞挖掘与漏扫实战，积累实战经验，尝试获取挖洞收益。

恭喜你，如果学到这里，你基本可以下班搞搞副业创收了，并且具备渗透测试工程师必备的「渗透技巧」、「溯源能力」，让你在黑客盛行的年代别背锅，工作实现升职加薪的同时也能开创副业创收！

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：全网最全的网络安全资料包需要保存下方图片，微信扫码即可前往获取!

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

（三）第三阶段：渗透测试技能学习

1. 阶段目标

全面掌握渗透测试理论与实战技能，能够独立完成渗透测试项目，编写规范的渗透测试报告，具备渗透测试工程师岗位能力，为护网红蓝对抗及应急响应提供技术支撑。

2. 学习内容

渗透测试核心理论：系统学习渗透测试流程、方法论及法律法规知识，明确渗透测试边界与规范（与红蓝对抗攻击边界要求一致）。

实战技能训练：开展漏洞扫描、漏洞利用、电商系统渗透测试、内网渗透、权限提升（Windows、Linux）、代码审计等实战训练，结合运维中熟悉的系统环境设计测试场景（强化红蓝对抗攻击端技术能力）。

工具开发实践：基于 Python 编程基础，学习渗透测试工具开发技巧，开发简单的自动化测试脚本（可拓展用于 SRC 漏扫自动化及应急响应辅助工具）。

报告编写指导：学习渗透测试报告的结构与编写规范，完成多个不同场景的渗透测试报告撰写练习（与 SRC 漏洞报告、应急响应报告撰写逻辑互通）。

（四）第四阶段：企业级安全攻防（含红蓝对抗）、应急响应

1. 阶段目标

掌握企业级安全攻防、护网红蓝对抗及应急响应核心技能，考取网安行业相关证书。

2. 学习内容

护网红蓝对抗专项：

红蓝对抗基础：学习护网行动背景、红蓝对抗规则（攻击范围、禁止行为）、红蓝双方角色职责（红队：模拟攻击；蓝队：防御检测与应急处置）；
红队实战技能：强化内网渗透、横向移动、权限维持、免杀攻击等高级技巧，模拟护网中常见攻击场景；
蓝队实战技能：学习安全设备（防火墙、IDS/IPS、WAF）联动防御配置、安全监控平台（SOC）使用、攻击行为研判与溯源方法；
模拟护网演练：参与团队式红蓝对抗演练，完整体验 “攻击 - 检测 - 防御 - 处置” 全流程。
应急响应专项：
应急响应流程：学习应急响应 6 步流程（准备 - 检测 - 遏制 - 根除 - 恢复 - 总结），掌握各环节核心任务；
实战技能：开展操作系统入侵响应（如病毒木马清除、异常进程终止）、数据泄露应急处置、漏洞应急修补等实战训练；
工具应用：学习应急响应工具（如 Autoruns、Process Monitor、病毒分析工具）的使用，提升处置效率；
案例复盘：分析真实网络安全事件应急响应案例（如勒索病毒事件），总结处置经验。
其他企业级攻防技能：学习社工与钓鱼、CTF 夺旗赛解析等内容，结合运维中企业安全防护需求深化理解。