您的位置:首页 > 房产 > 建筑 > 【Academy】API测试API testing

【Academy】API测试API testing

2025/1/11 15:53:40 来源:https://blog.csdn.net/u013672940/article/details/139866960  浏览:    关键词:【Academy】API测试API testing

API测试API testing

  • 概述
  • API侦察
  • API文档
    • 发现API文档
    • 使用机器可读的API文档
  • 标识API端点
    • 与API端点交互
      • 确定支持的HTTP方法
      • 确定支持的内容类型
      • 使用Intruder查找隐藏端点
  • 查找隐藏参数
    • 大量分配漏洞
      • 识别隐藏参数
      • 测试大规模分配漏洞
  • 防止API中的漏洞
  • 服务端参数污染
    • 测试查询字符串中的服务器端参数污染
      • 截断查询字符串
      • 注入无效参数
      • 注入有效参数
      • 覆盖现有参数
    • 测试REST路径中的服务器端参数污染
    • 测试结构化数据格式中的服务器端参数污染
    • 使用自动化工具进行测试
    • 防止服务器参数污染

概述

API(应用程序编程接口)使软件系统和应用程序能够通信和共享数据。API测试非常重要,因为API中的漏洞可能会破坏网站机密性、完整性和可用性的核心方面。

所有的动态网站都是由API组成的,所以像SQL注入这样的经典Web漏洞可以归类为API测试。在本主题中,我们将教您如何测试网站前端未完全使用的API,重点是RESTful和JSON API。还将教你如何测试可能影响内部API的服务器端参数污染漏洞。

API侦察

要开始API测试,首先需要尽可能多地了解有关API的信息,以发现其攻击面。

开始前,您应该确定API端点。这些是API接收关于其服务器上特定资源的请求的位置。例如,考虑以下GET请求:

GET /api/books HTTP/1.1
Host: example.com

此请求的API端点为/api/books。这将导致与API的交互,以从图书馆检索图书列表。例如,另一个API端点可能是/api/books/mystery,它将检索神秘书籍的列表。

一旦确定了端点,就需要确定如何与它们交互。这使您能够构造有效的HTTP请求来测试API。例如,您应该了解有关以下内容的信息:

  • API处理的输入数据,包括强制参数和可选参数。
  • API接受的请求类型,包括支持的HTTP方法和媒体格式。
  • 速率限制和身份验证机制。

API文档

API通常会被记录下来,以便开发人员知道如何使用和集成它们。

文档可以是人类可读和机器可读的形式。人类可读的文档旨在让开发人员了解如何使用API。它可能包括详细的解释,示例和使用场景。机器可读的文档被设计为由软件处理,以自动执行API集成和验证等任务。它是以JSON或XML等结构化格式编写的。

API文档通常是公开可用的,特别是如果API旨在供外部开发人员使用。如果是这种情况,请始终通过查看文档开始您的侦察。

发现API文档

即使API文档不是公开的,您仍然可以通过浏览使用API的应用程序来访问它。

为此,您可以使用Scanner抓取API。您也可以使用浏览器手动浏览应用程序。查找可能参考API文档的端点,例如:

  /api/swagger/index.html/openapi.json

如果标识了资源的终结点,请确保调查基本路径。例如,如果标识了资源终结点/api/swagger/v1/users/123,则应调查以下路径:

/api/swagger/v1
/api/swagger
/api

您还可以使用一个常用路径列表来使用Intruder查找文档。

使用机器可读的API文档

您可以使用一系列自动化工具来分析找到的任何机器可读的API文档。

您可以使用Scanner抓取和审计OpenAPI文档或任何其他JSON或YAML格式的文档。您还可以使用OpenAPI Parser BApp解析OpenAPI文档。

您还可以使用专门的工具来测试文档的端点,例如Postman或SoapUI。

标识API端点

您还可以通过浏览使用API的应用程序来收集大量信息。即使您可以访问API文档,这通常也是值得的,因为有时文档可能不准确或过时。

您可以使用Scanner抓取应用程序,然后使用浏览器手动调查有趣的攻击面。

在浏览应用程序时,在URL结构中查找建议API端点的模式,例如/api/。还要注意JavaScript文件。这些可以包含对您尚未通过Web浏览器直接触发的API端点的引用。Scanner会在抓取过程中自动提取一些端点,但对于更重量级的提取,请使用JS Link Finder BApp。您还可以在Burp中手动查看JavaScript文件。

与API端点交互

一旦您确定了API端点,就可以使用Burp Repeater和Burp Intruder与它们进行交互。这使您能够观察API的行为并发现其他攻击面。例如,您可以研究API如何响应HTTP方法和媒体类型的更改。

在与API端点交互时,请仔细查看错误消息和其他响应。有时候,这些信息包括可用于构造有效HTTP请求的信息。

确定支持的HTTP方法

HTTP方法指定要对资源执行的操作。例如:

  • GET -从资源中检索数据。
  • PATCH -提供对资源的部分更改。
  • OPTIONS -检索有关可在资源上使用的请求方法类型的信息。

API端点可以支持不同的HTTP方法。因此,在研究API端点时,测试所有可能的方法非常重要。这可能使您能够识别其他端点功能,从而打开更多的攻击面。

例如,端点/api/tasks可以支持以下方法:

  • GET /api/tasks -检索任务列表。
  • POST /api/tasks -创建一个新任务。
  • DELETE /api/tasks/1 -删除一个任务。

您可以使用Burp Intruder中内置的HTTP动词列表来自动循环使用一系列方法。
注意

在测试不同的HTTP方法时,以低优先级对象为目标。这有助于确保避免意外后果,例如更改关键项或创建过多记录。

确定支持的内容类型

API端点通常需要特定格式的数据。因此,根据请求中提供的数据的内容类型,它们的行为可能会有所不同。更改内容类型可以使您:

  • 触发错误,泄露有用信息。
  • 绕过有缺陷的防御。
  • 利用处理逻辑的差异。例如,API在处理JSON数据时可能是安全的,但在处理XML时容易受到注入攻击。

要更改内容类型,请修改Content-Type头,然后相应地重新格式化请求主体。您可以使用Content type converter 自动将请求中提交的数据在XML和JSON之间转换。

使用Intruder查找隐藏端点

一旦确定了一些初始API端点,就可以使用Intruder来发现隐藏的端点。例如,请考虑这样一个场景:您已标识以下API端点以更新用户信息:

PUT /api/user/update

要识别隐藏的端点,您可以使用Burp Intruder查找具有相同结构的其他资源。例如,您可以将有效负载添加到路径的/update位置,并列出其他常用函数,如delete和add。

在查找隐藏端点时,请使用基于常见API命名约定和行业术语的单词列表。根据你的初步调查,确保你也包括与应用程序相关的条款。

查找隐藏参数

在执行API侦察时,可能会发现API支持的未记录参数。您可以尝试使用它们来更改应用程序的行为。Burp包含许多工具,可以帮助您识别隐藏的参数:

  • Burp Intruder使您能够自动发现隐藏的参数,使用常用参数名称的单词列表来替换现有参数或添加新参数。基于您的初始侦察,确保您还包括与应用程序相关的名称。
  • Param miner BApp允许您自动猜测每个请求最多65,536个参数名称。Param miner根据从作用域中获取的信息自动猜测与应用程序相关的名称。
  • Content discovery工具使您能够发现未链接到您可以浏览到的可见内容的内容,包括参数。

大量分配漏洞

批量指定(也称为自动绑定)可能会无意中创建隐藏参数。当软件框架自动将请求参数绑定到内部对象上的字段时,就会发生这种情况。因此,批量分配可能导致应用程序支持开发人员从未打算处理的参数。

识别隐藏参数

由于批量赋值从对象字段创建参数,因此通常可以通过手动检查API返回的对象来识别这些隐藏的参数。

例如,考虑一个PATCH /api/users/请求,它允许用户更新他们的用户名和电子邮件,并包含以下JSON:

{"username": "wiener","email": "wiener@example.com",
}

并发的GET /api/users/123请求返回以下JSON:

{"id": 123,"name": "John Doe","email": "john@example.com","isAdmin": "false"
}

这可能表明隐藏的idisAdmin参数与更新的用户名和电子邮件参数一起绑定到内部用户对象。

测试大规模分配漏洞

要测试是否可以修改枚举的isAdmin参数值,请将其添加到PATCH请求:

{"username": "wiener","email": "wiener@example.com","isAdmin": false,
}

此外,发送一个带有无效PATCH参数值的isAdmin请求:

{"username": "wiener","email": "wiener@example.com","isAdmin": "foo",
}

如果应用程序的行为不同,这可能表明无效值会影响查询逻辑,而有效值不会。这可以指示用户可以成功地更新参数。

然后,您可以发送一个PATCH请求,并将isAdmin参数值设置为true,以尝试利用该漏洞:

{"username": "wiener","email": "wiener@example.com","isAdmin": true,
}

如果请求中的isAdmin值在没有充分验证和清理的情况下绑定到用户对象,则可能会错误地授予用户wiener管理员权限。 要确定是否是这种情况,请以wiener身份浏览应用程序,查看是否可以访问管理功能。

防止API中的漏洞

在设计API时,请确保从一开始就考虑安全性。特别是,请确保您:

  • 如果您不希望API公开访问,请保护您的文档。
  • 确保您的文档是最新的,以便合法的测试人员能够完全了解API的攻击面。
  • 应用允许的HTTP方法的允许列表。
  • 验证每个请求或响应都需要的内容类型。
  • 使用通用错误消息以避免泄露可能对攻击者有用的信息。
  • 在所有版本的API上使用保护措施,而不仅仅是当前的生产版本。

为了防止大量分配漏洞,允许列出用户可以更新的属性,并阻止列出用户不应该更新的敏感属性。

服务端参数污染

有些系统包含无法从互联网直接访问的内部API。当网站在没有适当编码的情况下将用户输入嵌入到内部API的服务器端请求中时,就会发生服务器端参数污染。这意味着攻击者可能能够操纵或注入参数,这可能使他们能够,例如:

  • 删除现有参数。
  • 修改应用程序行为。
  • 访问未经授权的数据。

您可以测试任何用户输入的任何类型的参数污染。例如,查询参数、表单字段、标头和URL路径参数都可能易受攻击。

注意

此漏洞有时称为HTTP参数污染。然而,这个术语也用于指Web应用程序防火墙(WAF)绕过技术。为了避免混淆,在本主题中,将只讨论服务器端参数污染。

此外,尽管名称相似,但此漏洞类与服务器端原型污染几乎没有共同之处。

测试查询字符串中的服务器端参数污染

要测试查询字符串中的服务器端参数污染,请在输入中放置查询语法字符(如#&=),并观察应用程序如何响应。

考虑一个易受攻击的应用程序,它允许您根据用户名搜索其他用户。当您搜索用户时,您的浏览器会发出以下请求:

GET /userSearch?name=peter&back=/home

为了检索用户信息,服务器使用以下请求查询内部API:

GET /users/search?name=peter&publicProfile=true

截断查询字符串

您可以使用URL编码的#字符来尝试截断服务器端请求。为了帮助您解释响应,您还可以在#字符后添加一个字符串。

例如,您可以将查询字符串修改为以下内容:

GET /userSearch?name=peter%23foo&back=/home

前端将尝试访问以下URL:

GET /users/search?name=peter#foo&publicProfile=true

注意

#字符进行URL编码至关重要。否则,前端应用程序会将其解释为片段标识符,并且不会将其传递给内部API。

查看响应以获取有关查询是否已被截断的线索。例如,如果响应返回用户peter,则服务器端查询可能已被截断。如果返回Invalid name错误消息,则应用程序可能已将foo视为用户名的一部分。这表明服务器端请求可能没有被截断。

如果您能够截断服务器端请求,这就消除了将publicProfile字段设置为true的要求。您可以利用此漏洞返回非公共用户配置文件。

注入无效参数

您可以使用URL编码的&字符来尝试向服务器端请求添加第二个参数。

例如,您可以将查询字符串修改为以下内容:

GET /userSearch?name=peter%26foo=xyz&back=/home

这将导致对内部API的以下服务器端请求:

GET /users/search?name=peter&foo=xyz&publicProfile=true

查看响应以获得有关如何解析附加参数的线索。例如,如果响应未改变,则这可以指示参数被成功注入但被应用忽略。

为了建立更完整的场景,您需要进一步测试。

注入有效参数

如果能够修改查询字符串,则可以尝试向服务器端请求添加第二个有效参数。
相关页面

有关如何标识可以注入到查询字符串中的参数的信息,请参见查找隐藏参数部分。

例如,如果您已经确定了email参数,则可以将其添加到查询字符串中,如下所示:

GET /userSearch?name=peter%26email=foo&back=/home

这将导致对内部API的以下服务器端请求:

GET /users/search?name=peter&email=foo&publicProfile=true

查看响应以获得有关如何解析附加参数的线索。

覆盖现有参数

若要确认应用程序是否容易受到服务器端参数污染的影响,可以尝试重写原始参数。通过注入具有相同名称的第二个参数来实现这一点。

例如,您可以将查询字符串修改为以下内容:

GET /userSearch?name=peter%26name=carlos&back=/home

这将导致对内部API的以下服务器端请求:

GET /users/search?name=peter&name=carlos&publicProfile=true

内部API解释两个name参数。其影响取决于应用程序如何处理第二个参数。这在不同的Web技术中有所不同。例如:

  • PHP只解析最后一个参数。这将导致用户搜索carlos
  • ASP.NET结合了这两个参数。这将导致用户搜索peter,carlos,这可能导致出现Invalid username错误消息。
  • Node. js/ express只解析第一个参数。这将导致用户搜索peter,给出不变的结果。

如果你能够覆盖原始参数,你可能能够进行利用。例如,您可以在请求中添加name=administrator。这可能使您能够以管理员用户身份登录。

测试REST路径中的服务器端参数污染

RESTful API可以将参数名称和值放置在URL路径中,而不是查询字符串中。例如,考虑以下路径:

/api/users/123

URL路径可能被分解如下:

  • /api是根API端点。
  • /users表示资源,在本例中为users
  • /123表示一个参数,这里是特定用户的标识符。

考虑一个允许您根据用户名编辑用户配置文件的应用程序。请求被发送到以下端点:

GET /edit_profile.php?name=peter

这将导致以下服务器端请求:

GET /api/private/users/peter

攻击者可能能够操纵服务器端URL路径参数来利用API。要测试此漏洞,请添加路径遍历序列以修改参数并观察应用程序如何响应。

您可以提交URL编码的peter/../admin作为name参数的值:

GET /edit_profile.php?name=peter%2f..%2fadmin

这可能导致以下服务器端请求:

GET /api/private/users/peter/../admin

如果服务器端客户端或后端API规范化此路径,则可能会将其解析为/api/private/users/admin

测试结构化数据格式中的服务器端参数污染

攻击者可能能够操纵参数来利用服务器处理其他结构化数据格式(如JSON或XML)时的漏洞。要测试这一点,请将意外的结构化数据注入用户输入,并查看服务器如何响应。

考虑一个应用程序,它允许用户编辑他们的配置文件,然后通过请求将更改应用于服务器端API。当您编辑您的姓名时,您的浏览器会发出以下请求:

POST /myaccount
name=peter

这将导致以下服务器端请求:

PATCH /users/7312/update
{"name":"peter"}

您可以尝试将access_level参数添加到请求中,如下所示:

POST /myaccount
name=peter","access_level":"administrator

如果用户输入被添加到服务器端JSON数据而没有进行充分的验证或清理,这将导致以下服务器端请求:

PATCH /users/7312/update
{name="peter","access_level":"administrator"}

这可能导致用户peter被授予管理员访问权限。
相关页面

有关如何标识可以注入到查询字符串中的参数的信息,请参见查找隐藏参数部分。

考虑一个类似的示例,但是客户端用户输入是JSON数据。当您编辑您的姓名时,您的浏览器会发出以下请求:

POST /myaccount
{"name": "peter"}

这将导致以下服务器端请求:

PATCH /users/7312/update
{"name":"peter"}

您可以尝试将access_level参数添加到请求中,如下所示:

POST /myaccount
{"name": "peter\",\"access_level\":\"administrator"}

如果用户输入被解码,然后在没有适当编码的情况下添加到服务器端JSON数据,这将导致以下服务器端请求:

PATCH /users/7312/update
{"name":"peter","access_level":"administrator"}

同样,这可能导致用户peter被给予管理员访问权限。

结构化格式注入也可以在响应中发生。例如,如果用户输入安全地存储在数据库中,然后在没有适当编码的情况下嵌入到来自后端API的JSON响应中,则可能发生这种情况。您通常可以在响应中检测和利用结构化格式注入,方法与在请求中相同。
注意

上面的例子是JSON,但服务器端参数污染可以发生在任何结构化数据格式。

使用自动化工具进行测试

Scanner在执行审核时自动检测可疑的输入转换。当应用程序接收到用户输入,以某种方式对其进行转换,然后对结果执行进一步处理时,就会发生这种情况。这种行为并不一定构成漏洞,因此您需要使用上面概述的手动技术进行进一步的测试。

您还可以使用Backslash Powered Scanning BApp来识别服务器端注入漏洞。您需要使用上面概述的手动技术来研究有趣的输入。

防止服务器参数污染

为了防止服务器端参数污染,使用allowlist来定义不需要编码的字符,并确保所有其他用户输入在包含在服务器端请求中之前都进行了编码。您还应该确保所有输入都符合预期的格式和结构。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com