API测试(一):PortSwigger靶场笔记

原创 已于 2024-07-15 12:59:52 修改 · 1.3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #网络安全 #web安全

于 2024-07-14 01:27:17 首次发布

写在前面

这篇文章是关于作者在学习PortSwigger的API Test类型漏洞时的记录和学习笔记
使用到的工具为Burp Suite Pro

漏洞简介

什么是api

API全称为Application Interface,是应用程序对外提供功能的接口,现在主要有三种api风格,分别是JSON风格的api,RESTful风格的api以及Graphic风格的api

JSON风格

请求获取用户信息

POST /api/getUser HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "userId": 1
}
RESTful风格

请求获取用户信息

GET /api/users/1 HTTP/1.1
Host: example.com

请求修改用户信息

POST /api/users HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "name": "Jane Doe",
  "email": "jane.doe@example.com"
}
Graphic风格

请求获取用户信息

POST /graphql HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "query": "{ user(id: 1) { id, name, email } }"
}

API测试是什么

API测试这种漏洞主要包含了对开放api期望运行逻辑的破坏以及对未开放的api的检测和调用,导致的危害可能有敏感信息泄露,应用行为被改变等
这篇文章主要讨论JSON和RESTful APIs
当你在测试一个api的时候,关注下面这些点:

  • api接收并处理的数据,包括必需的和可选的
  • api接受的请求类型,包括请求方法和media formats
  • 速率限制和认证机制

和api交互

使用不同的请求方法

HTTP1.0定义了三种请求方法: GET、POST、HEAD

  • GET方法请求一个指定资源的表示形式,使用 GET的请求应该只被用于获取数据。
  • HEAD方法请求一个与 GET请求的响应相同的响应,但没有响应体。
  • POST方法用于将实体提交到指定的资源,通常导致在服务器上的状态变化或副作用。
    HTTP1.1新增了六种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNECT、PATCH
  • OPTIONS方法用于描述目标资源的通信选项。
  • PUT方法用有效载荷请求替换目标资源的所有当前表示。
  • DELETE方法删除指定的资源。
  • TRACE方法沿着到目标资源的路径执行一个消息环回测试。
  • CONNECT方法建立一个到由目标资源标识的服务器的隧道。
  • PATCH方法用于对资源应用部分修改。
使用不同的Content-Type

以下是最常使用的10种Content-Type
application/json

  • 用途:用于 JSON 格式的数据传输,常用于 RESTful API。
    text/html
  • 用途:用于 HTML 格式的数据传输,常用于 Web 页面响应。
    application/x-www-form-urlencoded
  • 用途:用于 HTML 表单提交的编码方式,将表单数据编码为键值对。
    multipart/form-data
  • 用途:用于文件上传表单的编码方式,允许同时上传文件和其他数据。
    text/plain
  • 用途:用于纯文本数据传输,没有特
最低0.47元/天 解锁文章
h4ckb0ss
关注
Portwigge的Web安全漏洞训练平台SSRF通关
st3pby的博客
11-16 2224
Portwigge的Web安全漏洞训练平台SSRF通关
PortSwigger靶场CSRF最新版详细通关记录
LawnCat的博客
02-16 3141
该文章为portswigger中CSRF中绕过token篇。
Portswigger OS命令注入
最新发布
weixin_74643107的博客
11-25 1292
本文总结了WebSecurityAcademy靶场中五种注入技术的实战过程:1)URL编码注入通过参数编码绕过过滤;2)时间盲注利用sleep函数延时判断;3)输出重定向将命令结果写入文件;4)DNS带外交互通过域名查询实现隐蔽通信;5)命令拼接注入结合whoami与nslookup。重点演示了BurpSuite抓包改包、URL编码处理、OOB技术应用等方法,并强调了语句分隔符(;、||)和长度限制等注意事项,为Web安全测试提供了典型漏洞利用范例。
portswigger_文件上传漏洞
(∪.∪ )...zzz的博客
05-13 1372
这里写自定义目录标题、是啥1. 什么是文件上传漏洞2. 文件上传漏洞如何出现3. web服务器如何处理静态的文件请求二、类型1. 任意上传以部署webshelllab:上传webshell进行远程代码执行2. 文件类型验证存在缺陷lab:上传webshell 通过Content-Type 限制绕过3. 防止文件执行lab:上传webshell通过目录遍历4. 黑名单不足4.1 覆盖服务器配置lab: 通过黑名单之外的上传webshell——.htaccess4.2 混淆文件后缀lab5:文件后缀混淆来绕过
API testing | PortSwigger靶场
m0_50841600的博客
01-08 1802
PortSwigger靶场 API测试
portswigger靶场SQL注入实验()
m0_51313985的博客
09-09 3639
最近发现个挺不错的靶场,burpsuite的官方网站在线训练平台 不多说先到第个系列的实验去探究竟 麻了,英文界面属实不太友好! 所以我决定用谷歌看题,火狐去操作(主要火狐用习惯了)个系列的实验为SQL注入,先来简单了解下吧。 什么是SQL注入? SQL 注入是Web 安全漏洞,允许攻击者干扰应用程序对其数据库进行的查询。它通常允许攻击者查看他们通常无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导
SSRF()PortSwigger靶场笔记
aaaadoga的博客
07-14 1152
该文章是关于作者在PortSwigger的SSRF靶场训练的记录和学习笔记
路径遍历()PortSwigger靶场通关笔记
aaaadoga的博客
07-12 1044
篇关于路径遍历portswigger靶场笔记
PortSwigger GraphQL API靶场复现1-5关
wahaha__zhou_的博客
04-21 824
今天复现了,以下都是通过我自己琢磨、查阅资料和朋友指导写的复现笔记,小白入门,如果在博客中有什么错误或有什么值得改进的地方,还请各位大佬不吝赐教。个人见解:共五关,其实除了三四关以外,其他三关按照靶场提示就可以完成。
Bp靶场portswigger-API
夜风的博客
03-05 748
关注公众号,回复免费获取大量视频及工具资源API
portswigger靶场SQL注入实验()
m0_51313985的博客
10-03 2681
实验9 点击了home之后页面给了回显,猜测后面进行盲注的时候要利用此回显来判断,打开bp吧 注入点在trackingid这,简单判断下 存在注入,下面判断下是否存在表users,表里是否存在名为administrator的用户以及密码password有多少字符 为真,存在users表,接着查用户 后面判断password的长度 大于1为真,扩大点看看 大于30无回显,长度应该是小于30的,具体多少跑下payload吧 选择number范围1-30 到20,在确定了密码的长度之
JWT 攻击 | PortSwigger(burpsuite官方靶场)| Part 1
bin789456的博客
10-05 7154
是token的种实现,全称为。以形式来说,它就是个字符串,将用户的信息保存在个json字符串中,编码后得到的个token,这个token有签名功能防篡改认证流程:post提交表单后,后端验证完成生成个jwt,接下来返回该jwt至客户端,随后请求中带上该jwt,即可工作。传统cookie、session对比:1、JWT数据量小,传输速度快2、由于是json,JWT是跨语言的,应用广3、更适用于移动端,因为它们不支持cookie4、避免csrf,因为不依赖cookie。
网络安全】XSS漏洞——PortSwigger靶场-DOM破坏
2301_79915754的博客
08-26 1181
本文分析了利用DOM破坏技术绕过XSS防御的案例。研究发现目标网站使用DOMPurify框架过滤XSS,但存在通过DOM破坏覆盖window.defaultAvatar属性的漏洞。通过构造特殊HTML元素(如带name属性的a标签)可控制头像图片的src属性,最终实现XSS攻击。文章提供了完整攻击链分析,包括漏洞定位、payload构造和绕过技巧,并建议通过对象类型检查等方法来防御DOM破坏攻击。该案例展示了前端安全防护中DOM操作可能带来的安全隐患。
portswigger靶场 XSS1
Looooood的博客
02-27 1652
portswigger靶场记录
portswigger靶场 XSS3
Looooood的博客
03-04 1652
XSS
portswigger靶场API测试通关(上)
m0_49197645的博客
04-15 1752
使用文档利用 API 端点。
PortSwigger——API testing
qq_55202378的博客
02-24 1007
在GET请求中,客户端返回当前商品的编号及价格,以及折扣;要测试点,请将意外的结构化数据注入用户输入,并查看服务器如何响应。同时,该接口是个查询商品价格的接口,那么可以通过PATCH方法更改商品价格。:当网站在没有适当过滤的情况下将用户输入嵌入到内部API的服务器端请求中时,就会发生服务器端参数污染。服务端给用户邮箱发token的时候,其实token已经生成,只是没有返回给客户端,而。其实,这就是常说的种优惠券类的漏洞,通过传输隐藏字段来达到购买商品的目的。,会显示当前连接支持的HTTP方法。
身份验证漏洞实验-portswigger靶场
Au_Wind的博客
02-07 1783
portswigger靶场,身份验证漏洞实验
目录遍历 | PortSwigger(burpsuite官方靶场
bin789456的博客
03-27 2420
写在前面 官方链接:https://portswigger.net/web-security/file-path-traversal 在解释知识点时,部分对官方解释进行了引用,另部分对具体解题加入了自己的想法,注意甄别。那么,开始吧。 考虑个显示待售商品图像的购物应用程序。图像通过些 HTML 加载,如下所示: <img src="/loadImage?filename=218.png"> loadImageURL 接受个参数并返回指定文件 的filename内容。图像文件本身存储在
portswigger靶场 rce
07-24
PortSwigger 靶场中,RCE(Remote Code Execution,远程代码执行)漏洞的实验通常涉及利用用户输入中的缺陷,执行任意代码或命令。这些实验通常要求用户识别并利用代码注入、命令注入或文件上传等漏洞。 ### RCE 漏洞类型与利用方法 #### 1. **命令注入(Command Injection)** 命令注入是种常见的 RCE 类型,攻击者通过将恶意命令注入到应用程序的系统命令中,从而在服务器端执行任意命令。例如,在某些 Web 应用中,后端可能使用 `exec()` 或 `system()` 函数来执行系统命令。如果用户输入未正确过滤或转义,攻击者可以注入额外的命令。 ```python # 示例:Python 中的命令注入(不推荐) import os os.system(f"ping {user_input}") ``` 利用方法通常包括使用分号 `;`、管道符 `|` 或 `&&` 来分隔原始命令并附加恶意命令。例如,注入 `; rm -rf /` 可能导致删除服务器上的文件 [^2]。 #### 2. **代码注入(Code Injection)** 代码注入与命令注入不同,它涉及在应用程序的代码逻辑中插入恶意代码。例如,在 PHP 中,`eval()` 函数可能会被滥用,攻击者可以通过构造输入来执行任意 PHP 代码。 ```php // 示例:PHP 中的代码注入 eval("\$output = \"$user_input\";"); ``` 利用代码注入时,攻击者可以注入恶意代码,如 `phpinfo()` 或更危险的函数,以获取服务器信息或执行任意操作 [^1]。 #### 3. **文件上传漏洞(File Upload Vulnerability)** 某些 RCE 漏洞可能通过文件上传功能实现。攻击者可以上传包含恶意代码的文件(如 `.php` 或 `.phtml` 文件),然后通过访问该文件来执行代码。常见的绕过方法包括: - 上传文件名绕过(如 `shell.php.jpg`) - 文件内容绕过(如在图片文件中嵌入 PHP 代码) #### 4. **反序列化漏洞(Deserialization Vulnerability)** 反序列化漏洞可能导致 RCE,特别是在 PHP、Java 或 Python 等语言中。攻击者可以通过构造恶意序列化数据,在反序列化过程中触发任意代码执行。 --- ### PortSwigger 靶场 RCE 实验通关技巧 1. **识别输入点**:查找应用程序中接受用户输入的地方,例如表单、URL 参数或 HTTP 头。 2. **测试注入点**:尝试在输入字段中注入特殊字符,如 `;`, `|`, `&`, 或 `eval()`,观察是否可以执行命令。 3. **利用盲注技术**:在某些情况下,服务器不会返回执行结果,需要使用盲注技术,如通过 DNS 请求或 HTTP 请求来确认漏洞是否存在。 4. **使用 Burp Suite**:PortSwigger 提供的 Burp Suite 是测试 RCE 漏洞的重要工具,可以拦截和修改请求,快速测试不同注入向量。 5. **查阅官方文档**:PortSwigger Academy 提供了详细的实验指南,建议参考其官方文档和实验步骤进行练习 [^2]。 --- ### 安全防护建议 - **过滤用户输入**:对所有用户输入进行严格的验证和过滤,避免直接将其用于系统命令或代码执行。 - **使用白名单机制**:对文件上传功能实施白名单机制,限制允许上传的文件类型。 - **避免使用危险函数**:如 `eval()`、`exec()`、`system()` 等,尽量使用更安全的替代方案。 - **启用 Web 应用防火墙(WAF)**:WAF 可以帮助检测和阻止常见的 RCE 攻击模式。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值