AI 助理
备案控制台
开发者社区 数据库 文章 正文

api漏洞系列-api漏洞综述

2022-12-13 153
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 前言这篇文章本该为在api漏洞系列的第一篇,但是当时感觉还不到时候,最近看了一些相关姿势(文末有福利),感觉可以写了,于是便有了这篇文章(主要是笔记),先声明一下,这篇文章没有涉及到具体的相关技术细节,主要是一篇综述性的文章,方便日后查阅与学习.

前言


这篇文章本该为在api漏洞系列的第一篇,但是当时感觉还不到时候,最近看了一些相关姿势(文末有福利),感觉可以写了,于是便有了这篇文章(主要是笔记),先声明一下,这篇文章没有涉及到具体的相关技术细节,主要是一篇综述性的文章,方便日后查阅与学习.


正文


  • 信息搜集(侦查)
  • 被动侦察
    1.攻击面发现
    2.检查有无暴露的敏感信息
  • 主动侦察
    1.探测有无端口和服务开放
    2.使用DevTools调试web应用程序
    3.发现API接口
    ...
  • 进行Fuzzing
  • 接口分析
  • 查找并审核API文档
  • 分析并查找是否有信息泄露和业务逻辑漏洞
    ...
  • Authentication测试
  • 进行基本的身份验证测试
  • 利用API令牌测出
    ...
  • Authorization测试
  • 发现资源识别方法
  • 对BOLA进行测试
  • 对BFLA进行测试
  • Mass Assignment测试
  • 发现请求中使用的标准参数
  • 对Mass Assignment进行测试
  • 注入测试  
  • 发现接受用户输入的请求  
  • 测试XSS  
  • 测试SQL注入
  • 命令注入测试  
    ...
  • 速率限制测试
  • 测试是否存在速率限制
  • 测试避免速率限制的方法
  • 测试绕过速率限制的方法
    ...
文章标签:
SQL
安全
API
关键词:
API漏洞
richard1230
目录
相关文章
游客rihqhtgkydneq
|
11月前
|
安全 Java API
解决 Swagger API 未授权访问漏洞:完善分析与解决方案
Swagger 是一个用于设计、构建、文档化和使用 RESTful 风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决 Swagger API 未授权访问漏洞问题。
游客rihqhtgkydneq
4267 0
乌鸦安全
|
安全 网络协议 Shell
Docker API未授权漏洞复现
Docker API未授权漏洞复现
乌鸦安全
864 0
richard1230
|
安全 API
api漏洞系列-邮箱验证API接口无限制,可作为邮箱炸弹
漏洞描述 https://admin.phacility.com/settings/user/toma/page/email/ 中的API接口是无限的,可以用作邮箱炸弹。
richard1230
405 4
api漏洞系列-邮箱验证API接口无限制,可作为邮箱炸弹
richard1230
|
安全 API Android开发
api漏洞系列-一个越权漏洞
主要逻辑 Fabric平台帮助你构建更稳定的应用程序,通过世界上最大的移动广告交易平台产生收入,并使你能够利用Twitter的登录系统和丰富的实时内容,实现更大的分发和更简单的身份识别; 在注册功能(主要是为公司注册)中,缺少适当的授权检查,允许任何用户窃取API令牌。
richard1230
258 1
api漏洞系列-一个越权漏洞
richard1230
|
安全 API 开发工具
api漏洞系列-API权限升级
主要逻辑 使用能够嵌入Crashlytics的fabric SDK,用twitter登录到他们的Android/IOS应用程序。用户可以在https://fabric.io/dashboard上管理/跟踪仪表板上的报告。
richard1230
130 1
api漏洞系列-API权限升级
richard1230
|
安全 API
api漏洞系列-shopify中一个越权漏洞
主要逻辑 这是文档中所讲到的应用程序可以访问的范围(https://docs.shopify.com/api/authentication/oauth#scopes),但应用可以请求/获得更多范围的访问权,而其中有些范围本不应该是可访问的。
richard1230
271 1
api漏洞系列-shopify中一个越权漏洞
richard1230
|
安全 API
api漏洞系列-OAuth中的一个问题小结
漏洞描述 OAuth2 API允许用户将访问他们账户的权限授予第三方应用程序。当然,用户能够管理此类应用程序对其帐户的访问,并可能拒绝任何应用程序的访问。当某些用户拒绝对应用程序的访问时,所有的access_token(以及使用的refresh_token)都将被撤销并变得无效。但是不仅access_tokens应该被撤销,授权码(它是OAuth2授权流中使用的中间令牌)也必须被撤销。目前大多数OAuth2 API实现在撤销访问时不撤销授权代码。它可能被恶意应用程序利用去恢复访问用户帐户后,即使权限被撤销。
richard1230
117 1
api漏洞系列-OAuth中的一个问题小结
richard1230
|
存储 安全 API
api漏洞系列-OAuth的一个问题
漏洞描述 OAuth2 API允许用户将访问他们账户的权限授予第三方应用程序。当然,用户能够管理此类应用程序对其帐户的访问,并可能拒绝任何应用程序的访问。当某些用户拒绝对应用程序的访问时,所有的access_token都将被撤销并变得无效。但是除了access_tokens应该被撤销以外,授权码(它是OAuth2授权流中使用的中间令牌)也必须被撤销。 在撤销访问时,Vimeo OAuth2 API没有撤销其授权代码。它可能被利用于恢复访问用户帐户。 复现步骤
richard1230
130 0
api漏洞系列-OAuth的一个问题
richard1230
|
安全 API
api漏洞系列-OAuth中的race conditions问题
漏洞描述 大多数OAuth2 的API实现在用于处理访问令牌或刷新令牌的请求的时候似乎有多个竞争条件漏洞。 竞争条件允许恶意应用程序获得多个access_token和refresh_token对,而实际上应该只生成一对。而且,当访问被撤销时,它会导致授权绕过。
richard1230
123 0
api漏洞系列-OAuth中的race conditions问题
richard1230
|
安全 API iOS开发
api漏洞系列-api速率限制绕过
漏洞描述 该漏洞是关于2FA的绕过,Slack Web应用程序有速率限制实现。在执行4-6次失败的2FA尝试后,速率限制逻辑将被筛选并要求用户等待下一次尝试(防止自动2FA被暴力破解) 使用iOS App(iOS 9.3.3 iPad Air 2)进行相同的测试,发现API端点/API/auth.signin没有该措施。 攻击者可以暴力破解2FA并进入用户(受害者的帐户) 漏洞接口: /api/auth.signin
richard1230
356 0
api漏洞系列-api速率限制绕过