API接口的安全渗透测试都有哪些方式?


      APP程序接口(API)由一组定义和协议组成,可以用来构建和企业集成应用软件。伴随着数字转型的深入,API产品越来越有价值,尤其是与微服务、DevOps等技术的融合,使API变成公司战略加速的利器,但由此带来的安全问题也不容忽视。下面是5个常见的API安全漏洞:


第一,API应该和应用系统一样,在设计之初就考虑安全性因素,如防篡改(签名)、防重播(时间戳)、防止敏感信息泄漏(尽量减少传输加密和数据的机会)等。由API规范引起的一个问题是,很容易找到API,比如URL中的v1/login,参数中的"function":"login",等等。经常出现的安全配置错误有:不使用加密传输协议,CSRF,CORS,等等。太多的参数会导致信息泄漏,并且使得"role":"user":"admin"之类的攻击容易使攻击者联想到"role":"admin"等等。数据:传输的数据太多,返回的数据太多,参数值暴露敏感信息等等,都是过度数据带来的安全问题。


2020年,OWASP还将列出API最关注的十大安全问题:为了全面解决API的安全性问题,需要在每次API开发完成后进行全面的安全性测试,为了避免测试过程中的疏漏,我们可以准备一个清单v1.0(该清单主要添加了一些自己的分类基础、测试方法、修复方案等等)API安全性测试工具。


许多时候,重复劳动是不必要的,所以使用好的工具会事半功倍(工欲善其事必先利其器)。安装Astra非常简单,我们可以直接使用Docker进行部署(网站上有详细说明,值得注意的是编译Astra时网络是一个很大的问题,自己进行处理)

伯普苏特。


虽然Burp的威力不言而喻,但在API测试方面,我更喜欢将BurpSuite和Postman结合使用。不多说了安装过程。在使用Burp的过程中,后期有时间专门写BurpSuite+Postman。实际上写这篇文章的主要目的就是帮自己梳理一下API的安全漏洞和检查要点,上面的图表只是一个1.0版本,而且本表中我也有很多栏暂时没有分享出来,以后2.0会更新。

分享: