API渗透测试基础

SoftNight Web安全 2019年3月20日发布
Favorite收藏

导语:API渗透测试是一种常见的攻击面,攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中,我会讲到API渗透测试的一些基础知识。

API渗透测试概述

API渗透测试是一种常见的攻击面,攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中,我会讲到API渗透测试的一些基础知识。

本文分为下面三部分:

1. API渗透测试是什么?

2. API请求和响应的结构?

3. 渗透测试的方法,工具和案例?

API渗透测试详情

API渗透测试与web应用程序渗透测试方法相同。虽然测试方法类似,但是在攻击上还是有一些变化的,因此,我们要找出API的一些标准漏洞,就跟Web中的Owasp Top10一样,包括:注入,访问控制,信息泄露,IROR(不安全的对象直接引用),XSS等。

API安全认证基础

API认证和会话管理

当我们开始查看API时,我会首先想要知道API认证和会话管理是如何处理的。开发者们通常使用HTTP basic,Digest身份认证和JSON Web Token引入。现在又多了oAuth这种方式,这种方法实现授权,认证和会话管理非常简单。oAuth提供了会过期的无记名令牌,这让攻击者在认证模块中挖掘漏洞更加困难。如何识别API中的认证Tokens?很简单,如下图所示:

1.png

2.png

API设计和结构

现在的很多应用使用API来调用微服务或者执行某些动作或者监视用户的行为。这种API设计和结构对于客户和应用程序用户都是公开的,由于这一点,攻击者能够理解API的结构并利用此信息来进一步攻击API。

REST API使用不同的处理请求,比如GET,POST,PUT,DELETE,HEAD和PATCH操作等。攻击者可以修改请求头来理解API,并利用这种理解来构造有效的攻击exp。处理请求也可以进行修改,不过最好的做法是处理请求不能被篡改或修改。下图是处理请求的一个例子,请注意看服务器对于请求所做出的响应:

3.png

API渗透测试工具推荐

下列工具在API应用的渗透测试过程中经常使用到。在手工渗透测试中推荐使用,这些工具网上都有免费的。

1. Swagger-Editor

2. Postman

3. Burpsuite

据Google称:Swagger对于整个API生命周期开发都有帮助,从设计和文档到测试和部署。

Swagger的作用是转换OpenAPI文档为JSON或者YAML格式,Swagger还可以帮助你为每一个API端点创建请求。而且,还能够导入Swagger文件到postman中,有关postman使用文档,请戳这里阅读。一旦我们获得目标的完整信息和请求,然后我们就可以在postman和Swagger中修改host。这些设置有助于进行API渗透测试。

如何挖掘API漏洞?

仔细阅读客户提供的文档来了解攻击面。开发人员指南可以为我们提供API内部的更多信息。如果没有提供文档或者API部署在运行中的服务器中,那么我们就需要用代理来抓取所有API请求。在每个API请求中彻底的识别POST和GET请求,当我们理解了API请求后,记录下那些可能存在安全问题的点。以下是常规漏洞的基础测试点:

OWASP 2017测试点:

1. 观察API每个模块中的每一个参数,理解数据是如何从源传输到目标的。试着修改参数来对它进行一些测试。

2. 识别API是否具有任何的授权token,如果有,尝试删除这个授权token,看看应用程序的响应。在有些情况下,如果授权处理不当的话,API可能允许你访问应用程序禁止访问的资产。

3. 使用访问权限不同的用户登陆,如admin,操作员和普通用户,并分析并检查每一个模块。

4. 检查是否可以通过受限制的用户访问管理模块。

5. 识别可能存在IDOR(不安全的对象直接引用)漏洞的参数,比如id=1234,并且查找cookies中是否有可以进行修改的ID参数。

6. 在请求中的所有参数中插入特殊字符来测试是否存在注入漏洞,查看服务器的响应。如果发现任何堆栈报错信息,分析该信息并进一步进行利用。

7. 在所有参数中插入”<”,”>”,查看响应,应用程序是否进行转义还是直接输出。如果应用程序没有对任何特殊字符进行转义,那么该应用程序可能存在XSS攻击。

8. 修改content-type服务器头来理解XML实体注入攻击。例如,修改Application/JSON为application/XML,并且插入XML实体payload来查找XXE漏洞。

本文是一篇关于API渗透测试基础的介绍。更多关于web services和API渗透测试内容,请阅读这两篇文章。

http://blog.securelayer7.net/web-services-api-penetration-testing-part-1/

http://blog.securelayer7.net/web-services-api-penetration-testing-part-2/

本文翻译自:http://blog.securelayer7.net/api-penetration-testing-with-owasp-2017-test-cases/如若转载,请注明原文地址: https://www.4hou.com/web/16829.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论