知识点:
API攻防-类型利用-Soap&OpenAPI&格式解析
API接口类型:
1、RESTful API(Representational State Transfer):RESTful API是一种基于HTTP协议的API设计风格,它使用HTTP方法(例如:GET、POST、PUT、DELETE、PATCH)来对资源进行操作并通过URL来唯一标识资源
2、SOAP API(Simple Object Access Protocol):SOAP API是一种基于XML的通信协议,它使用SOAP消息格式进行数据交换,SOAP API通常使用WSDL(Web Services Description Language)描述接口,支持复杂的数据类型和协议扩展
3、GraphQL API(Graph Query Language):GraphQL API是一种用于数据查询和操作的API查询语言,它允许客户端定义需要返回的数据结构,从而减少不必要的数据传输和多次请求
4、gRPC API:gRPC是一种高性能、开源的远程过程调用(RPC)框架,它支持多种编程语言并使用Protocol Buffers进行数据序列化和通信
5、WebSocket API:WebSocket API提供了一种全双工通信的机制,使得服务器和客户端可以实时地进行双向数据传输,适用于实时通信和推送场景
6、JSON-RPC API:JSON-RPC是一种轻量级的远程过程调用(RPC)协议,基于JSON格式进行数据交换,支持各种编程语言和平台
7、OAuth API:OAuth是一种开放标准的授权协议,用于用户授权第三方应用程序访问受保护的资源,OAuth API提供了一组用于身份验证和授权的接口
8、OpenAPI/Swagger API:OpenAPI(以前称为Swagger)是一种用于设计、构建和文档化API的规范和工具集。OpenAPI/Swagger API提供了一种描述API接口和操作的标准方式
现在网站常用的就是这几种API接口:RESTful、SOAP、GraphQL、OAuth、OpenAPI/Swagger。
API检测流程
接口发现,遵循分类,依赖语言,V1/V2多版本等
接口发现:JS等中提取,枚举爆破,响应提示等
Method:请求方法
攻击方式:OPTIONS,PUT,MOVE,DELETE,PATCH
文章参考:https://blog.csdn.net/weixin_42672802/article/details/136884270
效果:上传恶意文件,修改页面等
URL:唯一资源定位符
攻击方式:猜测,遍历,跳转
效果:未授权访问等
Params:请求参数
攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等
Authorization:认证方式
攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等
Headers:请求消息头
攻击方式:拦截数据包,改Hosts,改Referer,改Content-Type等
效果:绕过身份认证,绕过Referer验证,绕过类型验证,DDOS等
Body:消息体
攻击方式:SQL注入,XML注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等
演示案例-API攻防-类型利用-SOAP API&格式解析
一般搭配.net语言。
在学习SOAP注入之前,先来介绍一下Web Service,Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。Web Service是一种远程调用技术,实质就是一个程序向外界暴露出了一个可通过Web调用的API,如果对传入的参数不做限制就有可能导致SQL注入等漏洞的产生。Web Service有三要素,分别为soap,wsdl和uddl。uddl用于提供发布和查询Web Service方法;wsdl是Web Service服务描述语言,用于web服务说明,它是一个xml文档,用于说明一组soap消息如何访问接口;soap是一种简单的基于XML的协议,它使应用程序通过HTTP来交换信息,用于分布式环境的基于信息交换的同行协议,描述传递信息的格式和规范,它可以用于连接web服务和客户端之间的接口,是一个可以在不同操作系统上运行的不同语言编写的程序之间的传输通信协议,格式为XML。
一、判断方式
1、数据包里面xml格式 存在特征soap字符。
2、URL后加?wsdl能成功显示xml格式数据。
二、演示项目-探针
https://www.vulnhub.com/entry/csharp-vulnsoap,135/
URL后加?wsdl
三、演示项目-WSDL解析
1、Burp插件
2、Apifox
3、Postman
演示案例-API攻防-类型利用-OpenAPI&格式解析
以Swagger为主的接口(JSON配置文件)
1、探针
URL扫描文件目录
2、JSON配置解析
Apifox
Postman
演示案例-API攻防-联动安全工具自动化扫描
自动发包后续联动扫描器(Xray,Burp,AWVS,Goby等)
只要支持代理配置的均可测试,对请求的数据包进行漏洞探针。
)
)
