知识点API攻防-类型利用-SoapOpenAPI格式解析API接口类型1、RESTful API(Representational State Transfer)RESTful API是一种基于HTTP协议的API设计风格它使用HTTP方法(例如GET、POST、PUT、DELETE、PATCH)来对资源进行操作并通过URL来唯一标识资源2、SOAP API(Simple Object Access Protocol)SOAP API是一种基于XML的通信协议它使用SOAP消息格式进行数据交换SOAP API通常使用WSDL(Web Services Description Language)描述接口支持复杂的数据类型和协议扩展3、GraphQL API(Graph Query Language)GraphQL API是一种用于数据查询和操作的API查询语言它允许客户端定义需要返回的数据结构从而减少不必要的数据传输和多次请求4、gRPC APIgRPC是一种高性能、开源的远程过程调用(RPC)框架它支持多种编程语言并使用Protocol Buffers进行数据序列化和通信5、WebSocket APIWebSocket API提供了一种全双工通信的机制使得服务器和客户端可以实时地进行双向数据传输适用于实时通信和推送场景6、JSON-RPC APIJSON-RPC是一种轻量级的远程过程调用(RPC)协议基于JSON格式进行数据交换支持各种编程语言和平台7、OAuth APIOAuth是一种开放标准的授权协议用于用户授权第三方应用程序访问受保护的资源OAuth API提供了一组用于身份验证和授权的接口8、OpenAPI/Swagger APIOpenAPI(以前称为Swagger)是一种用于设计、构建和文档化API的规范和工具集。OpenAPI/Swagger API提供了一种描述API接口和操作的标准方式现在网站常用的就是这几种API接口RESTful、SOAP、GraphQL、OAuth、OpenAPI/Swagger。API检测流程接口发现遵循分类依赖语言V1/V2多版本等接口发现JS等中提取枚举爆破响应提示等Method请求方法攻击方式OPTIONS,PUT,MOVE,DELETE,PATCH文章参考https://blog.csdn.net/weixin_42672802/article/details/136884270效果上传恶意文件修改页面等URL唯一资源定位符攻击方式猜测遍历跳转效果未授权访问等Params请求参数攻击方式构造参数修改参数遍历重发效果爆破越权未授权访问突破业务逻辑等Authorization认证方式攻击方式身份伪造身份篡改效果越权未授权访问等Headers请求消息头攻击方式拦截数据包改Hosts改Referer改Content-Type等效果绕过身份认证绕过Referer验证绕过类型验证DDOS等Body消息体攻击方式SQL注入XML注入反序列化等效果提权突破业务逻辑未授权访问等演示案例-API攻防-类型利用-SOAP API格式解析一般搭配.net语言。在学习SOAP注入之前先来介绍一下Web ServiceWeb Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序可使用开放的XML标准通用标记语言下的一个子集标准来描述、发布、发现、协调和配置这些应用程序用于开发分布式的交互操作的应用程序。Web Service是一种远程调用技术实质就是一个程序向外界暴露出了一个可通过Web调用的API如果对传入的参数不做限制就有可能导致SQL注入等漏洞的产生。Web Service有三要素分别为soapwsdl和uddl。uddl用于提供发布和查询Web Service方法wsdl是Web Service服务描述语言用于web服务说明它是一个xml文档用于说明一组soap消息如何访问接口soap是一种简单的基于XML的协议它使应用程序通过HTTP来交换信息用于分布式环境的基于信息交换的同行协议描述传递信息的格式和规范它可以用于连接web服务和客户端之间的接口是一个可以在不同操作系统上运行的不同语言编写的程序之间的传输通信协议格式为XML。一、判断方式1、数据包里面xml格式 存在特征soap字符。2、URL后加?wsdl能成功显示xml格式数据。二、演示项目-探针https://www.vulnhub.com/entry/csharp-vulnsoap,135/URL后加?wsdl三、演示项目-WSDL解析1、Burp插件2、Apifox3、Postman演示案例-API攻防-类型利用-OpenAPI格式解析以Swagger为主的接口JSON配置文件1、探针URL扫描文件目录2、JSON配置解析ApifoxPostman演示案例-API攻防-联动安全工具自动化扫描自动发包后续联动扫描器Xray,Burp,AWVS,Goby等只要支持代理配置的均可测试对请求的数据包进行漏洞探针。