API渗透测试基础

API渗透测试概述

API渗透测试是一种常见的攻击面，攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中，我会讲到API渗透测试的一些基础知识。

本文分为下面三部分：

1. API渗透测试是什么？

2. API请求和响应的结构？

3. 渗透测试的方法，工具和案例？

API渗透测试详情

API渗透测试与web应用程序渗透测试方法相同。虽然测试方法类似，但是在攻击上还是有一些变化的，因此，我们要找出API的一些标准漏洞，就跟Web中的Owasp Top10一样，包括：注入，访问控制，信息泄露，IROR(不安全的对象直接引用)，XSS等。

API安全认证基础

API认证和会话管理

当我们开始查看API时，我会首先想要知道API认证和会话管理是如何处理的。开发者们通常使用HTTP basic，Digest身份认证和JSON Web Token引入。现在又多了oAuth这种方式，这种方法实现授权，认证和会话管理非常简单。oAuth提供了会过期的无记名令牌，这让攻击者在认证模块中挖掘漏洞更加困难。如何识别API中的认证Tokens？很简单，如下图所示：

API设计和结构

现在的很多应用使用API来调用微服务或者执行某些动作或者监视用户的行为。这种API设计和结构对于客户和应用程序用户都是公开的，由于这一点，攻击者能够理解API的结构并利用此信息来进一步攻击API。

REST API使用不同的处理请求，比如GET,POST,PUT,DELETE,HEAD和PATCH操作等。攻击者可以修改请求头来理解API，并利用这种理解来构造有效的攻击exp。处理请求也可以进行修改，不过最好的做法是处理请求不能被篡改或修改。下图是处理请求的一个例子，请注意看服务器对于请求所做出的响应：

API渗透测试工具推荐

下列工具在API应用的渗透测试过程中经常使用到。在手工渗透测试中推荐使用，这些工具网上都有免费的。

1. Swagger-Editor

2. Postman

3. Burpsuite

据Google称：Swagger对于整个API生命周期开发都有帮助，从设计和文档到测试和部署。

Swagger的作用是转换OpenAPI文档为JSON或者YAML格式，Swagger还可以帮助你为每一个API端点创建请求。而且，还能够导入Swagger文件到postman中，有关postman使用文档，请戳这里阅读。一旦我们获得目标的完整信息和请求，然后我们就可以在postman和Swagger中修改host。这些设置有助于进行API渗透测试。

如何挖掘API漏洞？

仔细阅读客户提供的文档来了解攻击面。开发人员指南可以为我们提供API内部的更多信息。如果没有提供文档或者API部署在运行中的服务器中，那么我们就需要用代理来抓取所有API请求。在每个API请求中彻底的识别POST和GET请求，当我们理解了API请求后，记录下那些可能存在安全问题的点。以下是常规漏洞的基础测试点：

OWASP 2017测试点：

1. 观察API每个模块中的每一个参数，理解数据是如何从源传输到目标的。试着修改参数来对它进行一些测试。

2. 识别API是否具有任何的授权token，如果有，尝试删除这个授权token，看看应用程序的响应。在有些情况下，如果授权处理不当的话，API可能允许你访问应用程序禁止访问的资产。

3. 使用访问权限不同的用户登陆，如admin，操作员和普通用户，并分析并检查每一个模块。

4. 检查是否可以通过受限制的用户访问管理模块。

5. 识别可能存在IDOR(不安全的对象直接引用)漏洞的参数，比如id=1234，并且查找cookies中是否有可以进行修改的ID参数。

6. 在请求中的所有参数中插入特殊字符来测试是否存在注入漏洞，查看服务器的响应。如果发现任何堆栈报错信息，分析该信息并进一步进行利用。

7. 在所有参数中插入”<”，”>”，查看响应，应用程序是否进行转义还是直接输出。如果应用程序没有对任何特殊字符进行转义，那么该应用程序可能存在XSS攻击。

8. 修改content-type服务器头来理解XML实体注入攻击。例如，修改Application/JSON为application/XML，并且插入XML实体payload来查找XXE漏洞。

本文是一篇关于API渗透测试基础的介绍。更多关于web services和API渗透测试内容，请阅读这两篇文章。

http://blog.securelayer7.net/web-services-api-penetration-testing-part-1/

http://blog.securelayer7.net/web-services-api-penetration-testing-part-2/