你所容易疏忽的几个api-security-tips

admin
admin
admin
138876
文章
114
评论
2022年10月10日12:11:56评论32 views字数 662阅读2分12秒阅读模式

你所容易疏忽的几个api-security-tips

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

正文

1.版本问题

api/v3/login     ==================>   api/v1/login

2.用于 AuthN 的 API 接口有多种

/api/mobile/login | /api/v3/login | /api/magic_link

3.测试 Ruby on Rails 应用程序并注意包含 url的http参数,开发人员有时会使用“Kernel#open”函数来访问 URL, 只需发送一个管道作为第一个字符,然后发送一个 shell 命令

4.找到ssrf之后:

  • 内部端口扫描
  • 利用云服务(比如 169.254.169.254)
  • 使用http://webhook.site显示 IP 地址和 HTTP 库
  • 是否反射式 SSRF?公开本地管理控制台

5.Mass Assignment

  • 在利用过程中,不要猜测对象的属性名称,只需找到一个返回所有属性的 GET 接口。
你所容易疏忽的几个api-security-tips

6.REST API 的渗透测试?

  • 检查 API 是否也支持 SOAP

将 content-type 更改为“application/xml”,在请求正文中添加一个简单的 XML,然后查看 API 是如何处理它的。

7.试图找 BOLA (IDOR) 漏洞

HTTP 正文/header中的 ID 往往比 URL 中的 ID 更容易受到攻击。尝试首先关注它们。


原文始发于微信公众号(迪哥讲事):你所容易疏忽的几个api-security-tips

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月10日12:11:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   你所容易疏忽的几个api-security-tipshttps://cn-sec.com/archives/1340650.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息