search

barretlee / translation-plan

翻译计划
https://www.barretlee.com/translation/
MIT License
36 stars 0 forks source link

API Penetration Testing With OWASP #7

Open barretlee opened 5 years ago

barretlee commented 5 years ago

http://blog.securelayer7.net/api-penetration-testing-with-owasp-2017-test-cases/

barretlee commented 5 years ago

这篇文章讲得比较肤浅,我就不翻译了。关于 API 的渗透测试,有几点参考:

  1. 观察每个模块 API 的参数,理解数据是如何传输进去的,尝试修改参数;
  2. 确认每个 API 是否需要一个授权的令牌,移除令牌看看服务器响应,可能会看到有用的信息;
  3. 尝试用管理员、会员、普通用户等各种各样的身份去渗透;
  4. 看看普通用户是否有拌饭访问管理员模块;
  5. 尝试 IDOR 类型漏洞手机,观察相关参数的 cookie 影响;
  6. 通过在请求中插入特殊字符检查注入漏洞,注意观察服务器响应,是否有错误堆栈可利用;
  7. 通过在参数中插入大于号、小于号字符,看看应用是否会对他们进行编码,如果未处理,可以考虑 XSS 漏洞攻击;
  8. 修改请求头中的 Content-Type,看看是否可以进行 XML 注入攻击。