保姆级教程教你玩转API渗透测试

文摘   2024-11-12 23:05   江苏  

·引言

    叮隆,一则消息打破了斯叔短暂的平静

    怎么回事,都4202年了,斯叔不允许还有人不会对API接口进行渗透测试

·show time

    其实这种api的测试各大厂商都有对应的自动化工具了,以绿盟为例,我看在绿盟的朋友用的EZ(类似于xray的一款工具)里面就直接集成了对api的扫描测试,可以通过调用对应的参数实现躺着收洞。

    斯叔也是有幸使用过一次,效果还是蛮不错的,对于常规的漏洞基本都会探测。

    但是这类工具一般都是厂商内部共享或者需要一些门槛才能使用,对于其他白帽子很不“友好”,有没有啥法子可以不受大厂的限制进行测试呢?这时候就需要打开国际大型同性交友平台,Github了。

    斯叔平时喜欢使用swagger-exp这款工具,项目地址

https://github.com/lijiejie/swagger-exp

    用swagger-exp结合xray也能达到绿盟的EZ工具API扫描的效果。Let's look look how to use!

    首先来看看swagger-exp的README文档是如何介绍的,看起来用法很简单,只需要在py文件后面直接跟上api文档的地址就好了。

    下载好工具,安装完依赖就可以使用了。我们可以将swagger-exp的数据包代理到burp,这样就可以看到所有发送的请求包报文信息了,然后再在burp上设置代理,将流量代理给xray,让xray给我们自动化检测漏洞信息,还可以对应看看burp上的接口流量是否存在未授权访问或者信息泄露的情况。

    首先设置cmd的代理,在swagger-exp目录的cmd里分别输入两行代码将当前cmd的流量全部转发给burp

set http_proxy=http://127.0.0.1:8080set https_proxy=http://127.0.0.1:8080

    然后在burp里面的设置xray的代理信息

    开启祖传的xray

    下面就可以运行swagger-exp了,坐等xray报洞ing

    还有一种方式,通过postman自动发包测试,思路也是相同的,将postman代理给burp,再在burp上设置代理给xray。

    首先,官网下载一个postman,导入我们需要测试的api文档地址

    导入完地址之后,设置接口的服务器地址

    设置指向burp的代理,点击齿轮,选择setting,设置代理

    下面就可以进行自动化批量测试了,点击导入的接口文件夹,点击Run按钮

    最后点击Run,

 ·END

    感谢各位老铁支持,后台私信暗号"xray"获取1.9.11版本的高级版xray。

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款


往期回顾

一款bp神器

ssrf绕过新思路

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips



迪哥讲事
作者主页: https://github.com/richard1230
 最新文章