API攻防

API接口

API探测&常用API

目前最常见的是：GraphQL，REST-WADL(最多)；

早期用的较多的是：SOAP_WSDL；

智能家居等设备常用：gRPC

API接口分为小众接口和官方接口，官方接口能测到的漏洞很少，能测到漏洞的基本是小众接口

API分类特征

SOAP - WSDL

特征：url是 .asmx 文件结尾，在末尾添加 ?wsdl 访问后触发类似以下页面，那就是用的soap

OpenApi - Swagger

特征：打开后页面显示如下图，那么就是swagger

REST WADL - /v1/api

特征：存在什么 *api，v1等关键字在url中，如下图

API常见漏洞

OWASP API Security TOP 10 2023

API检测流程

接口发现，遵循分类，依赖语言，V1/V2多版本等

相关关键字含义

Method：请求方法

攻击方式：OPTIONS,PUT,MOVE,DELETE

效果：上传恶意文件，修改页面等

URL：唯一资源定位符

攻击方式：猜测，遍历，跳转

效果：未授权访问等

Params：请求参数

攻击方式：构造参数，修改参数，遍历，重发

效果：爆破，越权，未授权访问，突破业务逻辑等

Authorization：认证方式

攻击方式：身份伪造，身份篡改

效果：越权，未授权访问等

Headers：请求消息头

攻击方式：拦截数据包，改Hosts，改Referer，改Content-Type等

效果：绕过身份认证，绕过Referer验证，绕过类型验证，DDOS等

Body：消息体

攻击方式：SQL注入，XML注入，反序列化等

效果：提权，突破业务逻辑，未授权访问等

API检测项目

工具自动化

SOAP - WSDL 测试 InfoSystem

Postman 联动 xray（单次漏洞检测） / bp-APIKit+xay（双重漏洞检测）

SoapUI ReadyAPI 联动 xray（多重漏洞检测） / bp-APIkit+xay（多重漏洞检测）

SoapUI ReadyAPI

OpenApi - Swagger 测试

Postman 联动 xray（单次漏洞检测） / bp-APIkit+xay（双重漏洞检测）

swagger-exp

swagger-hack

REST WADL - /v1/api/ 测试

Postman 联动 xray（单次漏洞检测） / bp-APIkit+xay（双重漏洞检测）

手工发包测试案例：vapi靶场

API 1-身份越权/信息泄露

ID值更改遍历用户信息

API 4 - 验证枚举

验证逻辑可持续提交，没有做次数限制，通过爆破可通过验证

API 5 - 接口枚举

更改URL地址尝试获取，爆破url路径，类似于目录扫描

API 8 - 数据库注入

与常规注入步骤一致

API 9 - V1/2多版本

由于V2等高版本无法爆破，V1能爆破，所以直接将数据包中的版本更改为v1再进行测试

其他靶场&资源：

https://github.com/API-Security/APISandbox

https://github.com/arainho/awesome-api-security