免责声明
文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
工具介绍
项目地址:
https://github.com/API-Security/APIKit
作者师傅:
yuligesec、rmb122、Aur0ra-m
该Burpsuite插件APIKit代码开源,可扩展性高,项目维护、更新快,也可以直接使用编译好的成品。
使用体验
泄露的接口文档信息内经常存在未授权上传接口以及敏感数据调用接口,测试人员可以通过这类接口文档找到额外的成果,扩大测试面,在攻防演练中也可以获得意想不到的重大数据以及相关权限分。
笔者很早就给自己的Burp加装了这APIKit插件,在日常的渗透测试与攻防演练中,通过该插件进行自动化收集未授权API接口文档信息并测试文档列表中相关API接口的可利用性,如:SpringBoot、OpenAPI-Swagger甚至SOAP-WSDL(SOAP注入)等,也可以自主指定接口文档URL,插件会自动爬取接口信息,根据接口自动添加参数进行发包测试其存活性,再通过状态码以及相关回显信息为更详细的接口测试提供更多条件。
搭配上一篇文章介绍的TsojanScan搭配使用,能明显提高未授权敏感API接口测试成果产出率,提高测试效率,减少做无用功。
细节扩展
另外,可以搭配另一个项目进行API测试,该工具可以通过指定接口列表形式转为图形化文档信息形式进行浏览,更清晰明确地了解接口的传参结构信息,并可以直接通过图形化文档的形式挖掘出敏感接口的可利用点以及危害性。
项目地址:
https://github.com/lijiejie/swagger-exp
作者师傅:
lijiejie、lanyi1998
转换前,接口列表形式
转换后,以图形化文档形式进行浏览,接口结构信息更明了,并且可以在文档中直接构造或修改接口请求内容进行测试,方便进行分析。
尝试构造接口请求内容进行测试
原文始发于微信公众号(划水但不摆烂):【神兵利器】武装BurpSuite让打点更轻而易举(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论