当前位置: 首页 > news >正文

接口安全SOAPOpenAPIRESTful分类特征导入项目联动检测

news 2025/7/20 19:51:01

1 API 分类特征
SOAP - WSDL
OpenApi - Swagger
RESTful - /v1/api/
2 API 常见漏洞
OWASP API Security TOP 10 2023
3 API 检测流程
接口发现,遵循分类,依赖语言, V1/V2 多版本等
Method :请求方法
攻击方式: OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等
URL :唯一资源定位符
攻击方式:猜测,遍历,跳转
效果:未授权访问等
Params :请求参数
攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等
Authorization :认证方式
攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等
Headers :请求消息头
攻击方式:拦截数据包,改 Hosts ,改 Referer ,改 Content-Type
效果:绕过身份认证,绕过 Referer 验证,绕过类型验证, DDOS
Body :消息体
攻击方式: SQL 注入, XML 注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等
4 API 检测项目
工具自动化:xray yakit
SOAP - WSDL 测试 InfoSystem
Postman 联动
SoapUI ReadyAPI
OpenApi - Swagger 测试
Postman 联动
https://github.com/lijiejie/swagger-exp
可以测接口地址遍历
注入
爆破验证码
v2版本无法爆破 数据包改成v1
http://www.dtcms.com/a/225034.html

相关文章:

  • NodeJS全栈开发面试题讲解——P5前端能力(React/Vue + API调用)
  • RabbitMQ-Go 性能分析
  • 【irregular swap】An Examination of Fairness of AI Models for Deepfake Detection
  • Textacy:Python 中的文本数据清理和规范化简介
  • java Map双列集合
  • 【HarmonyOS Next之旅】DevEco Studio使用指南(二十九) -> 开发云数据库
  • Spring MVC参数绑定终极手册:单多参/对象/集合/JSON/文件上传精讲
  • 【Linux】Linux文件系统详解
  • 包管理后续部分
  • Window系统程序加入白名单
  • unix/linux source 命令,在当前的 Shell 会话中读取并执行指定文件中的命令
  • 【GPT入门】第40课 vllm与ollama特性对比,与模型部署
  • Leetcode 3568. Minimum Moves to Clean the Classroom
  • 【云安全】以Aliyun为例聊云厂商服务常见利用手段
  • Java大厂后端技术栈故障排查实战:Spring Boot、Redis、Kafka、JVM典型问题与解决方案
  • Vue3.5 企业级管理系统实战(二十一):菜单权限
  • flask pyinstaller打包exe,出现module not found问题
  • 用mediamtx搭建简易rtmp,rtsp视频服务器
  • FFmpeg学习笔记
  • SDL_CreateRendererWithProperties报错Parameter ‘window‘ is invalid
  • Linux 第三阶段课程:数据库基础与 SQL 应用
  • Domain Adaptation in Vision-Language Models (2023–2025): A Comprehensive Review
  • NLP学习路线图(十四):词袋模型(Bag of Words)
  • gin 框架
  • 【Tauri2】049——upload
  • LangChain-结合智谱AI大模型实现自定义tools应用实例
  • 【Netty系列】自定义协议
  • CM3内核寄存器
  • latex figure Missing number, treated as zero. <to be read again>
  • Android的uid~package~pid的关系