Anna艷娜
2
CISO
高級信息系統項目管理師
PMP
Anna艷娜2
CISO
高級信息系統項目管理師
PMP
API接口的滲透測試要點有以下這些:
盡可能的先獲取API規范描述文件,如在線接口文檔、api-docs.json文件、Swagger文件,RAML文件,API-Blueprint文件等,通過文件來獲取API端點和詳細調用方式及參數定義。
在無界面的情況下,除了API規范描述文件,通過Proxy代理方式,對流量進行分析也是獲取API詳情的一種手段。
關注可攻擊的點,比如請求參數、請求方法GET/POST/PUT/DELETE、是否存在授權繞過(令牌是否正確驗證,是否令牌有時效性)、是否存在注入點(MySQL、NoSQL)、是否存在批量分配的問題等。
關注通用的安全問題,比如是否存在Key泄露、是否存在暴力破解的可能、同一API多個版本不一致問題、XSS、CSRF等。
面向不同層次會話的攻擊,比如傳輸層是否使用SSL或使用可信的數字證書、應用層會話是否設置超時或采取限流熔斷機制等。
推薦文章
