数据要素目前已经成为推动数字经济高质量发展的新型生产要素,围绕数据安全的攻防博弈也逐渐成为当下网络安全建设的主旋律之一,API接口作为数据互通和共享的主要技术手段,首当其冲要面临入侵渗透和数据窃取的威...
一次学校的渗透测试记录
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。最近客户内部系统自查,遂有了下文。客户要求对唯一暴露在互联网上的一个公众号服务功能进行安全测试,希望在内部...
汽车制造业成API风险高地,智能网联车数据安全亟待加强
2023年初,据安全组织披露,有近20家知名品牌车企存在API安全漏洞,黑客能远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息,造成大量客户数据泄露;同月,T-Mobile公开承认,黑客利用一个AP...
记录一次没账号的金融项目挖掘漏洞过程
这周又是来了一个金融项目跟甲方沟通过了,允许外网测试,但不提供账号,只提供测试资产。这对于我这个API挖掘工程没撒大的影响,毕竟我也就会擅长挖掘个API漏洞,其他漏洞不擅长。图片码都打死,知道过程是什...
AI-Gateway:一款整合了OpenAI、Anthropic、LLama2等大语言模型的统一API接口
关于AI-GatewayAI-Gateway是一款针对大语言模型的统一API接口,该接口可以用在应用程序和托管的大语言模型(LLM)之间,该工具可以允许我们通过一个统一的API接口将AP...
API 安全专题(13)| 如何识别和阻止可疑的API流量?
API流量指使用API在不同应用或系统之间传输的数据和请求。API流量的产生源自应用系统之间的有效交互和数据交换需求,可促进不同软件应用间的数据交互和集成。与传统Web应用相比,API流量会产生更多的...
通过分析JS源代码发现api漏洞
通过分析JS源代码发现api漏洞正文目标为target.com,范围为*.target.com,信息搜集之后,发现前端为react,发现了一个文件夹名字叫web-app,其中包含了前端的源代码!使用了...
【神兵利器】武装BurpSuite让打点更轻而易举(二)
免责声明文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具介绍项目地址:https://git...
API接口安全问题浅析
文章前言随着互联网的快速发展,应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式,然而API接口的广泛使用也引发了一系列的安全问题,在当今数字化时代,API接口安全问题的重要性...
SRC测试指南:从APl接口泄露到数据加解密的深入分析
0x01 API接口泄露Web端Web应用很多都是后端Springboot+前端Webpack的组合,在后端Springboot安全的时候,那么可以通过Webpack获取到目标系统的API接口信息。打...
Eolink一款好用的API管理工具
1 前言最近了解到一款比较好用的工具,它叫Eolink。Eolink 是一款定位专业级的一站式API协作平台,是一款比较好用的API管理工具,据说该工具集Swagger+Postman+Mock+Jm...
记某项目漏洞挖掘之任意用户登录
前言:在授权对某个项目进行测试时,我们发现目标的子域名存在未授权的API,这引发了一系列问题。在此,我们将情况记录下来并和大家分享。挖掘过程记录:1. 当小星尝试访问某系统时,页面显示为空白。2. 通...