第66天 API安全-接口安全&阿里云KEY%postman&DVWS&XEE&鉴权&泄露
知识点
1.HTTP类接口-测评
2.RPC类接口-测评
3.Web Service类-测评
参考链接:https://www.jianshu.com/p/e48db27d7c70
内容点:
SOAP(Simple Object Access Protocol)简单对象访问协议是交换数据的一种协议规范,
是一种轻量的、简单的、基于XML(标准通用标记语言下的一个子集)的协议,它被设计
成在WEB上交换结构化的和固化的信息,SOAP不是Web Servicet的专有协议,
SOAP使用HTTP来发送XML格式的数据,可以简单理解为:SOAP=HTTP+XML
REST(Representational State Transfer)即表述性状态传递,在三种主流的Web服务实
现方案中,因为REST模式的Wb服务与复杂的SOAP和XML-RPC对比来讲明显的更加简
洁,越来越多的Web服务开始采用REST风格设计和实现。例如,Amazon.com提供接近
REST风格的Web服务进行图书查找;雅虎提供的Web服务也是REST风格的。
WSDL(Web Services Description Language)即网络服务描述语言,用于描述Web服务
的公共接口。这是一个基于XML的关于如何与Wb服务通讯和使用的服务描述;也就是描
述与目录中列出的Wb服务进行交互时需要绑定的协议和信息格式。通常采用抽象语言描
述该服务支持的操作和信息,使用的时候再将实际的网络协议和信息格式绑定给该服务。
接口数据包:
Method:请求方法
攻击方式:OPTIONS,PUT,MOVE,DELETE
效果:上传恶意文件,修改页面等
URL:唯一资源定位符
攻击方式:猜测,遍历,跳转
效果:未授权访问等
Params:请求参数
攻击方式:构造参数,修改参数,遍历,重发
效果:爆破,越权,未授权访问,突破业务逻辑等
Authorization:认证方式
攻击方式:身份伪造,身份篡改
效果:越权,未授权访问等
Headers:清求消息头
攻击方式:拦截数据包,改Hosts,
改Referer,改Content-Type等
效果:绕过身份认证,绕过Referer验证,绕过类型验证,DDOS等
Body:消息体
攻击方式:SQL注入,XML注入,反序列化等
效果:提权,突破业务逻辑,未授权访问等
安全问题:
XSS跨站,信息泄露,暴力破解,文件上传,未授权访问,JWT授权认证,接口滥用等
演示案例:
工具使用-Postman自动化汉测试
安全问题-Dvws泄世漏&鉴权&XE
安全问题-阿里KEY信息泄漏利用
应用方向-违法APP打包接口分析
工具使用-Postman自动化测试
https://www.postman.com/downloads/
安全问题-Dvws世是&鉴权&OXE
https://github.com/snoopysecurity/dvws-node
1、注册时抓包可尝试修改admin为ture,看看能否绕过jwt验证
登录返回的数据包为admin,false
修改登录数据包为admin=true
2、通过数据包中body的格式判断提交请求的格式为xml格式,尝试是否存在XXE漏洞,利用XXE可以实现读取文件、若误回显可以尝试外部实体注入或者使用dnslog检测漏洞存在
复现:在用户数据搜索出抓包,看到格式为xml格式,尝试使用xxe漏洞读取到文件
安全问题-阿里云KEY信息池漏利用
https://yun.cloudbility.com/
https://github.com/mrknow001/aliyun-accesskey-Tools
接口配置文件泄漏导致云资源生机受控
目前为止,云服务器已经占据了服务器的大部分市场,由于云服务器易管理,操作性强,安全程度高。很多大型厂商都选择将资产部署在云服务上,但安全的同时由于运维人员的疏忽也会导致一些非预期的突破口。当云产品Accesskey在调用过程中,出现泄漏会导致对象控制资源全部被控,影响严重!
1、常规获取Accesskey方式
-通过源码泄漏配置文件
-通过应用程序报错读取
-通过JS文件引用中获取
如图:页面报错
如图:源码配置
应用方向违法APP打包接口分析
完整的分析流程:burp抓包找到真实访问的域名地址—通过信息收集到含有使用webpack组件的网站
–使用/Packer-Fuzzer工具扫描