@时光机
2年前 提问
1个回答
API接口的渗透测试要点有哪些
Anna艳娜
2年前
API接口的渗透测试要点有以下这些:
尽可能的先获取API规范描述文件,如在线接口文档、api-docs.json文件、Swagger文件,RAML文件,API-Blueprint文件等,通过文件来获取API端点和详细调用方式及参数定义。
在无界面的情况下,除了API规范描述文件,通过Proxy代理方式,对流量进行分析也是获取API详情的一种手段。
关注可攻击的点,比如请求参数、请求方法GET/POST/PUT/DELETE、是否存在授权绕过(令牌是否正确验证,是否令牌有时效性)、是否存在注入点(MySQL、NoSQL)、是否存在批量分配的问题等。
关注通用的安全问题,比如是否存在Key泄露、是否存在暴力破解的可能、同一API多个版本不一致问题、XSS、CSRF等。
面向不同层次会话的攻击,比如传输层是否使用SSL或使用可信的数字证书、应用层会话是否设置超时或采取限流熔断机制等。