51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3126|回复: 0
打印 上一主题 下一主题

[转贴] API安全测试方法论

[复制链接]
  • TA的每日心情
    无聊
    3 天前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2021-5-12 11:51:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
     API安全概述
      Application Programma Interface (API)由一组定义和协议组合而成,可用于构建和企业集成应用软件。随着数字化转型的深入,API产品的价值日益增高,特别是与微服务、DevOps等技术的融合,使得API成为企业战略发展加速的利器,但随之而来的安全问题也不容忽视。常见的API安全漏洞有以下五种:

      1、首先是API应该与应用系统一样在设计之初就考虑安全的因素,比如防篡改(签名)、防重放(时间戳)、防止敏感信息泄露(传输加密与数据最小化)等。
      2、API规范性带来的一个问题就是API很容易被发现,比如在URL中出现的v1/login,参数中出现的"function": "login"等。
      3、安全配置错误常常包括:未使用加密传输协议、CSRF、CORS等。
      4、参数过多就会导致信息泄露以及便于攻击者执行频率分析攻击,比如"role": "user"容易让攻击者联想到"role": "admin"等。
      5、数据过多:传输过多的数据、返回过多的数据、参数值暴露敏感信息等都是数据过多导致的安全问题。
      同时OWASP在2019年也列举了API最受关注的十大安全问题:

      从上述的两张图中我们就可以大体了解API常面临的风险是什么,那么如何来解决这些安全问题?
      API安全测试方法
      要想全面解决API的安全问题,就要在每次API研发完成之后进行全面的安全测试,为了防止测试过程中出现的遗漏,我们可以准备一个检查列表v1.0(本列表主要来自:https://github.com/shieldfy/API- ... master/README-zh.md,添加了一些自己的分类依据、测试方法、修复方案等):

      API安全测试工具
      很多时候重复的劳动力是不必要的,所以利用好工具事半功倍(工欲善其事必先利其器)。
      Astra
      https://github.com/flipkart-incubator/Astra
      安装Astra非常简单,我们直接使用Docker部署即可(官网已经有了详细说明,值得注意的是编译Astra时网络是个大问题,自行扶墙)
      Burp Suite
      Burp的强大之处不用多说,但是针对API的测试,我更喜欢把BurpSuite与Postman结合起来使用。
      fuzzapi
      https://github.com/Fuzzapi/fuzzapi
      安装过程不赘述。
      Postman
      结合Burp来使用,后期有空专门写BurpSuite + Postman。
      其实写本文主要是为了帮自己梳理一下API的安全漏洞和检查要点,上面的图只是一个1.0版本,并且本表的很多列我也暂时没有共享出来,后期2.0会更新。
      reference
      · API Security Checklist:https://github.com/shieldfy/API-Security-Checklist
      · API的五个常见漏洞:https://min.news/zh-cn/tech/24cceb1c0d9169a7dc68e58e0e669864.html
      · API接口渗透测试:https://xz.aliyun.com/t/2412
      · 应用程序接口(API)安全:https://www.freebuf.com/articles/web/248251.html

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏1
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-24 01:08 , Processed in 0.059954 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表