API接口的渗透测试有什么特性

API接口的渗透测试有以下特性：

• API的接口数据交互格式大多数为JSON格式，由多个参数或键值对组成的JSON结构作为参数与服务器端进行交互，这种请求参数的格式，对于渗透测试人员来说，Fuzz测试时很容易混淆。

• 大多数API都有认证机制，比如OAuth 2.0、APPID/APPKEY，尤其是客户自定义认证方式时，渗透测试工作的开展更加困难，需要先理清其业务逻辑才能更好地开展。

• API与传统的Web网页不同，API通常是纯后端的应用，这种不可见或无持续连接状态的特性，导致渗透测试人员容易忽略某些接口或无法发现接口。

• API协议的HTTP状态码与普通HTTP协议存在差异，对安全辅助工具的自动化判断产生影响。

• API接口描述、参数格式与传统Web网页差异性较大，没有很好的自动化工具支撑，定制化工作多，对渗透测试人员的能力要求较高。

• 在目前前端技术栈比较丰富的情况下，很多接口交互的发起使用Ajax请求，比如Vue、Angular、React，这对安全扫描工具自动化地捕获API流量是很大的挑战。