使用 Burp 枚举 REST API

Burp 可以测试任何 REST API 端点，前提是您可以为该端点使用普通客户端来生成正常流量。流程是通过 Burp 代理客户端的流量，然后用正常的方式进行测试。

除非 API 使用 Swagger 文件，否则不使用普通客户端就无法完全自动化，因为 REST API 端点没有标准格式来定义可以向它们发出的请求（就像 SOAP 那样通过 WSDL 文件的端点）。因此，没有办法绕过使用真实客户端生成示例流量的需要。

在某些情况下，您可以使用浏览器访问 API，但这并不总是可行的。在本教程中，我们将演示如何使用移动设备通过 Burp Suite 代理 API 流量。

您可以使用此方法映射整个 API，或定位和测试特定操作。

在此示例中，我们将演示映射过程并在 Flickr 上找到“收藏”操作：

flickr.favorites.add

确保您的移动设备已正确配置 Burp Suite。

下一步是通过您的移动设备访问该应用程序，并确保流量通过 Burp 进行代理。

使用通过 Burp Proxy 工作的移动应用程序，通过以下链接手动映射应用程序、提交表单并逐步完成多步骤流程。此过程将使用请求的所有内容填充代理历史记录和目标站点地图。

从这里您可以向 Burp 的各种工具发送请求以进行手动或自动测试。

要查找特定操作，您可以使用 Burp 菜单中的搜索功能。

或者，您可以抓取特定操作并监控请求和响应过程。

在此屏幕截图中，我们使用 HTTP 历史控制台隔离并突出显示了登录过程。