接口安全&WebPack&REST&SOAP&WSDL&WebService

最新推荐文章于 2025-03-21 17:22:35 发布
最新推荐文章于 2025-03-21 17:22:35 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: web渗透 文章标签: 安全 webpack 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54882883/article/details/126495181
版权
本文介绍了接口的种类,如HTTP类接口和RPC接口,并探讨了接口泄露的漏洞及利用方式,提到了Swagger等接口调试工具。同时,讲解了如何识别和测试接口,包括Webpack的打包过程,并给出了目录扫描和F12关键词判断方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

知识点

靶场搭建可用蓝易云服务器

😘😘😘😘😘😘点击查看详情

  • HTTP类接口

  • RPC接口

  • Web Server类

  1. HTTP类接口其实是隶属于Web Server的【正常网站的差不多】

  2. RPC接口 其实就是远程调用客户端和服务端,就好比手机登录游戏的账户密码,而登录的这个账户密码会用到RPC接口,而账户密码就是通过这个接口来继续查询验证了【非web】

wsdl接口

inurl:asmx?wsdl

edu.cn inurl:asmx?wsdl

https://www.w3schools.com/xml/tempconvert.asmx?WSDL

在这里插入图片描述

这个是我们找到的一个接口泄露的漏洞

访问是这样的

但是我们改一下url就可以看到有哪些接口从而利用了

把后面的WSDL去掉

https://www.w3schools.com/xml/tempconvert.asmx?

在这里插入图片描述

两个接口

这里推荐可以有用

readyapi
soapUI

swagger接口

swagger【第三方接口调试工具】

swagger 其实也是api接口

当网站在运行的时候用到了某些接口,你为了调试这些接口能否正常的调用,能正常查询等等的话,就会用到Swagger这个平台去测试,这是就需要在网站上搭建Swagger这个平台,让这个平台来调试接口

那么当用户他用到了这个平台,用户能够通过这个平台队对接口进行调试,那么攻击者也会通过某些手段,利用这个平台Swagger来对接口进行调试

fofa
"Swagger" && title=="Swagger UI"

http://20.151.72.103:8002/swagger-ui.html

在这里插入图片描述

判断对方网站是否搭建了Swagger

目录扫描的时候看看有没有这些文件名称等等

目录:

/swagger

/api/swagger

/swagger/ui

/api/swagger/ui

/swagger-ui.html

/api/swagger-ui.html

/user/swagger-ui.html

/libs/swaggerui

/api/swaggerui

/swagger-resources/configuration/ui

/swagger-resources/configuration/security

或者

F12查看加载的文件中有没有带Swagger特殊字样的

在这里插入图片描述

swagger工具

https://github.com/jayus0821/swagger-hack

https://github.com/lijiejie/swagger-exp

HTTP类

Webpack&PackerFuzzer

webpack主要是打包,所以其核心存在两个部分,入口出口,你可以把webpack加工想象成香肠加工厂,就是活猪进去,香肠出来的那种,但是如果每次加工都需要员工亲力亲为,那多麻烦那,所以我们考虑到了自动化配置。webpack存在功能类似的配置文件,让webpack通过配置,全自动的执行我们需要的编译操作。
webpack分成四个部分,期中最核心的就是入口和出口,当然在入口和出口配置的同时我们还需要一些加载器和插件,这就是我们所谓的webpack配置文件。这个配置文件我们习惯把其命名为webpack.config.js ,还有webpackfile.js

 注意:webpack共分为四个部分
识别

可以用中间件识别工具去识别

https://staging.expanseservices.com/

在这里插入图片描述

F12关键词也可以判断

FastAPI学习-误处理
愤怒的小兵
06-14 2663
FastAPI针对误的处理有以下几种方式: 默认异常处理 使用Exception模块,注意:返回使用raise,而不是return from fastapi import FastAPI, HTTPException app = FastAPI() items = {"foo": "The Foo Wrestlers"} @app.get("/items/{item_id}") async def read_item(item_id: str): if item_id not in ite
fastapi文件上传出现:“POST /v1/uploadFiles/ HTTP/1.1“ 422 Unprocessable Entity
m0_46324045的博客
01-18 1944
List[UploadFile]应当传的请求参数格式
FastAPI调用post接口响应422 Unprocessable Entity
唯有热爱 可抵万难
01-10 5339
问题原因:请求内容可能不是json格式。
FastAPI 设置 UploadFile 的可选选项时报:“Value error, Expected UploadFile, received: <class ‘str‘>“
最新发布
秋叶原的黑猫的博客
03-21 289
如果和上面写法一样还是报,说明是swagger的问题,你不上传文件时它会默认打钩send empty value,取消打钩即可正确请求。
Fastapi上传图片文件报422 Unprocessable Entity
qq_40277409的博客
01-19 1773
我用Fastapi写了一个上传图片的接口,在我自己的linux服务器和windows上都测试通过了,但是部署到某linux服务器上却出现了报422 Unprocessable Entity。此文章作为一个踩坑记录。
FastApi POST接口报422
weixin_43704021的博客
06-22 7496
使用fastapi写post接口 前端用jquery ajax ,却报422 unvaild entities ,最后前端修改成这样成功了,需要传给后端json字符串 $("#submit_buttton").click( function() { $('#submit_buttton').prop('disabled', true); let submit_sql = window.editor.getValue();
Python:带有发布请求的 FastAPI 422
qq_38334677的博客
07-24 2452
Python:带有发布请求的 FastAPI 422
FastAPi上传文件报,There was an error parsing the body
风一样的少年
06-05 3122
在router的配置中,url是以 `/`结尾的,但是我的postman中没有写/,所以导致请求重定向(307),最终导致了这个报。(具体原因,我还不太清楚,如果有老哥明白,帮忙给评论一下。postman有个work directory的概念,所以再使用postman上传的文件必须在这个目录下,否则读取不到文件,导致发送给接口的数据是空数据,导致fastapi获取不到body.如果这个命令能成功,那说明可能是你工具的问题了。使用了上面的代码就能正常处理斜杠的问题了。加上/后,就能正常请求了。
FastAPI returns “Error 422: Unprocessable entity“ when I send multipart form data with JavaScript...
suiusoar
11-11 1324
当我使用JavaScript的Fetch API发送多部分表单数据时,FastAPI返回“Error 422: Unprocessable Entity”
fastapi--捕捉422并进行本地化处理
chise_
12-03 1万+
文章目录概述解决方案ExceptionHTTPExceptionRequestValidationError解决方案 概述 fastapi如果pydantic对输入数据验证出现不符合的情况,默认情况下会以422的格式返回。 但是说实话这个格式实在是太丑。 最主要的原因是很可能不符合大家前后端交互的误类型。 当然返回内容不是中文也很重要。(这种事交给前端的话前端大概会打死我) 解决方案 在初始化app的时候,可以增加自定义的报。 目前fastapi很贴心的支持三种报捕捉和替换默认处理。 Exceptio
前端react axios 发送post请求fastapi响应报422 (Unprocessable Entity)
热门推荐
J_Sky:编程爱好者,又菜又爱玩.
11-07 2万+
也有小伙伴会出现发送接送数据出现422,如果你理解了数据不对应的误原理,那么你就应该分析道,你的json数据是什么格式的?很多时候到这里我们就开始搜索百度、csdn等寻找答案,大多都说是header设置有问题格式不对等等,后来我查寻了官方的文档,发现这个误其实解决起来很简单的,只要。好像明白了哪里出问题,后端没定义接收数据的类型.因为前端发来的是一个str,我们修改一下后的s的类型试试.,前后端的数据类型一致就可以了,不用什么header设置,不用改这改那的就可以完美解决422误问题.
FastAPIjsonable_encoder方法、及替换框架参数验证422
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
04-09 1192
使用fastAPI进行开发的时候,最烦的就是数据库里的时间字段,一般我们会增加create_time和update_time两个时间字段,而这两个字段都是timestamp类型,默认值而这两种类型的字段在使用 Pymysql 读取数据库内容之后如果直接使用json输出会报:需要对每个这种类型的字段进行如下的另外处理。
FastAPI : 同时接收表单和文件报 422 “msg“:“byte type expected“,“type“:“type_error.bytes“
zkkksssss的博客
01-30 1273
按照下面的代码定义API,同时接收表单和文件字节: 但是请求时死活报422误:'{"detail":[{"loc":["body","obj_bytes"],"msg":"byte type expected","type":"type_error.bytes"}]}' 这个问题查了半天,最终在英文论坛的一个小角落发现:接口定义时,File参数要写在前面!!! 这个细节官网都没有提到,着实有点坑,应该是个bug 稍作记录,以便后人 ...
fastapi 接受ajax请求报422解决方法
Mr_LiMing7758的博客
07-20 756
使用fastapi 作为后端,接受ajax请求进行如下设计。
【HTTP 422】Unprocessable Entity 状态码详解
lph159的博客
12-24 9849
是 HTTP/1.1 扩展协议中的一个状态码。与常见的 4xx 客户端误类似,它表示客户端的请求有问题,但问题的根源在于请求内容不符合服务器的要求。简而言之,服务器理解了请求的格式,但请求的具体内容存在问题,导致无法被正常处理。
后端返回422处理过程
Slpyy的博客
09-20 1万+
状态码422解决过程
FastAPI 学习之路(十七)上传文件
mr~li的博客
08-29 3315
上传文件
FastAPI 文件上传:从单文件上传到多文件上传的表单数据处理全解析
敲代码别忘了喝上一杯凉白开。
01-08 1711
本文介绍了如何使用 **FastAPI** 处理文件上传,涵盖了从单文件上传到多文件上传的实现。通过声明 `File` 参数,您可以轻松处理表单数据上传,并学习如何配置路径操作函数来接收文件。此外,本文详细阐述了上传的数据类型 `application/x-www-form-urlencoded` 和 `multipart/form-data` 的使用,以及如何通过 `UploadFile` 处理大型文件。通过多个示例,您将掌握如何处理文件上传的常见场景,确保高效、简便地接收和存储上传的文件。
FastAPI实现文件上传下载
weixin_38226321的博客
12-22 2501
最近的项目需求,是前端vue,后端fastAPI,然后涉及到图像的消息发送,所以需要用fast写文件上传下载的接口,这里简单记录一下。
fastapi上传文件
02-06
FastAPI是一个基于Python的现代、快速(高性能)的Web框架,它支持异步请求处理和类型注解。FastAPI提供了方便的文件上传功能。 要在FastAPI中实现文件上传,你需要使用`File`类型的参数来接收上传的文件。这可以通过导入`File`类来实现,如下所示: ```python from fastapi import FastAPI, File, UploadFile app = FastAPI() @app.post("/upload") async def upload_file(file: UploadFile = File(...)): contents = await file.read() # 处理上传的文件内容 return {"filename": file.filename} ``` 在上面的例子中,我们定义了一个`/upload`的POST请求处理函数,它接收一个名为`file`的参数,类型为`UploadFile`。`UploadFile`是FastAPI提供的一个特殊类型,用于处理上传的文件。 在函数体内部,我们可以通过`await file.read()`来读取上传文件的内容。你可以根据需要对文件内容进行处理。 最后,我们返回一个包含上传文件名的字典作为响应。 需要注意的是,上述代码中的`...`表示参数是必需的,你可以根据实际情况进行修改。 这就是使用FastAPI进行文件上传的基本方法。你可以根据自己的需求对上传文件进行更复杂的处理,比如保存到磁盘、验证文件类型等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无聊的知识

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值