0x00 api接口介紹

通常在網(wǎng)站的通訊中，很多會調(diào)用api接口去方便更多信息的管理與調(diào)用，但是當(dāng)使用某些api時，在開發(fā)人員未對api接口做出訪問策略限制或其他的加固，會導(dǎo)致其他的用戶發(fā)現(xiàn)api的時候可能會從中獲取到敏感信息泄露，或者其他的sql注入等等安全問題，本文介紹三種api的利用與發(fā)現(xiàn)

0x01 WebService類-Wsdl接口測試

在WebService的開發(fā)，特別是和第三方有接口的時候，走的是SOAP協(xié)議，然后會有WSDL文件（或網(wǎng)址），這時候可以對wsdl文件進行相關(guān)的測似，敏感信息等等。

wsdl指紋探測：“?wsdl”

該api接口的安全問題有以下類型：

Web 應(yīng)用安全漏洞:
   sql注入
   xss攻擊
   命令執(zhí)行
   越權(quán)
   LDAP注入
   緩沖區(qū)溢出
   邏輯漏洞
   等等
   
XML 相關(guān)的特殊安全漏洞:
   XPath注入
   XQuery注入
   拒絕服務(wù)攻擊（SOAP 數(shù)組溢出、遞歸的 XML 實體聲明、超大消息體）
   信息泄漏（XML External Entity File Disclosure）
   等等

在api的接口里面也可以看到一些信息調(diào)用的查詢，這里就會參數(shù)敏感信息泄露的問題，這個通常可以工具結(jié)合是手工去測試發(fā)現(xiàn)

對于這些地方都可以進行注入，查詢信息等的測試，
工具測試：SoapUI Pro+burp
指紋：“?wsdl” && “edu” && country=“CN”
一篇不錯的文章可以學(xué)習(xí)一下：
https://cloud.tencent.com/developer/article/1666998

0x02 SOAP類-Swagger接口測試

Swagger 的目標(biāo)是對 REST API 定義一個標(biāo)準(zhǔn)且和語言無關(guān)的接口，可以讓人和計算機擁有無須訪問源碼、文檔或網(wǎng)絡(luò)流量監(jiān)測就可以發(fā)現(xiàn)和理解服務(wù)的能力。當(dāng)通過 Swagger 進行正確定義，用戶可以理解遠程服務(wù)并使用最少實現(xiàn)邏輯與遠程服務(wù)進行交互。與為底層編程所實現(xiàn)的接口類似，Swagger 消除了調(diào)用服務(wù)時可能會有的猜測。
在對目標(biāo)信息收集可以驗證一下是否存在Swagger接口，以下是特征的目錄指紋：

/swagger/
/api/swagger/
/swagger/ui/
/api/swagger/ui/
/swagger-ui.html
/api/swagger-ui.html
/user/swagger-ui.html
/swagger/ui/
/api/swagger/ui/
/libs/swaggerui/
/api/swaggerui/
/swagger-resources/configuration/ui/
/swagger-resources/configuration/security/

Swagger接口漏洞測試類型
接口越權(quán)
接口SQL注入（針對所有查詢接口）
接口未授權(quán)訪問（重點針對管理員模塊，如對用戶的增刪改查）
任意文件上傳（針對上傳接口進行測試）
測試信息泄露（重點針對用戶、訂單等信息查詢接口，以及一些測試數(shù)據(jù)等）

可能存在文件上傳的swagger接口

有存在數(shù)據(jù)查詢的地方也可以測試注入等

工具測試：
https://github.com/lijiejie/swagger-exp
https://github.com/jayus0821/swagger-hack

測試完后可以查看測試結(jié)果返回200，是否存在敏感信息

0x03 HTTP類-Webpack測試

webpack是一個前端的模塊化打包(構(gòu)建)的工具
webpack將一切繁雜的、重復(fù)的、機械的工作自動處理，開發(fā)者只需要關(guān)注于功能的實現(xiàn)的
指紋：使用wapplyzer幫助識別

js指紋：

Webpack漏洞的檢測，工具支持自動模糊提取對應(yīng)目標(biāo)站點的API以及API對應(yīng)的參數(shù)內(nèi)容，并支持對：未授權(quán)訪問、敏感信息泄露、CORS、SQL注入、水平越權(quán)、弱口令、任意文件上傳七大漏洞進行模糊高效的快速檢測。在掃描結(jié)束之后，本工具還支持自動生成掃描報告，您可以選擇便于分析的HTML版本以及較為正規(guī)的doc、pdf、txt版本。

Packer-Fuzzer：https://github.com/rtcatc/Packer-Fuzzer

python3 PackerFuzzer.py -t adv -u http://chargepoint.com

審核編輯：湯梓紅