好的兄弟们,最近有点忙,年底了,活比较多,所以一直也没来得及继续整理。
今天给大家奉上接口安全评估的参考手册,里面着重介绍了一下两款接口测试工具的使用方法,postman和soupui,漏洞方面呢,仅仅是介绍了几个比较常见的,实际上在接口测试的过程中漏洞多发的还是SQL注入、XML实体注入、fastjson反序列化、未授权访问多一些,为什么不提其他的逻辑漏洞呢,是因为常规测试的时候,你只有一个接口报文,你也不知道这个报文下的用户哪些功能是合法的,所以业务逻辑漏洞的越权等漏洞,是仁者见仁智者见智,还是需要根据当前接口进行选择,是测,还是不测。当然了,有的时候确实是会有文件上传漏洞的,但是这种情况比较少见,所以案例里也没有进行介绍,笔者有一次测试接口,给的既不是xml报文也不是json报文,而是给了一段java源码,这种我想应该不算正规的接口测试了,所以没有在这个里面去提现这方面的内容,下面是部分截图
东西放云盘了,后台回复关键字
接口
接口
接口
即可获取下载链接,适用于小白新人
原文始发于微信公众号(哈拉少安全小队):接口安全评估参考手册
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论