實戰(zhàn)分享 | API 接口滲透測試

yi321yi 2019-01-29

展開全文

1 API 接口介紹

1.1 RPC（遠程過程調(diào)用）

遠程過程調(diào)用（英語：Remote Procedure Call，縮寫為 RPC）是一個計算機通信協(xié)議。該協(xié)議允許運行于一臺計算機的程序調(diào)用另一臺計算機的子程序，而程序員無需額外地為這個交互作用編程。如果涉及的軟件采用面向?qū)ο缶幊蹋敲催h程過程調(diào)用亦可稱作遠程調(diào)用或遠程方法調(diào)用，例：Java RMI。

RPC 一般直接使用 TCP 協(xié)議進行通信，通常不涉及到 HTTP。HTTP 下面有2種技術(shù)：

XML-RPC（https://zh./wiki/XML-RPC）
JSON-RPC（https://zh./wiki/JSON-RPC）

Web service 和 RESTful API 都可算作遠程過程調(diào)用的子集。

1.2 Web Service

Web Service 是一種服務(wù)導向架構(gòu)的技術(shù)，通過標準的Web協(xié)議提供服務(wù)，目的是保證不同平臺的應用服務(wù)可以互操作。

根據(jù) W3C 的定義，Web 服務(wù)（Web service）應當是一個軟件系統(tǒng)，用以支持網(wǎng)絡(luò)間不同機器的互動操作。網(wǎng)絡(luò)服務(wù)通常是許多應用程序接口（API）所組成的，它們透過網(wǎng)絡(luò)，例如國際互聯(lián)網(wǎng)（Internet）的遠程服務(wù)器端，執(zhí)行客戶所提交服務(wù)的請求。

盡管W3C的定義涵蓋諸多相異且無法介分的系統(tǒng)，不過通常我們指有關(guān)于主從式架構(gòu)（Client-server）之間根據(jù) SOAP 協(xié)議進行傳遞 XML 格式消息。無論定義還是實現(xiàn)，Web 服務(wù)過程中會由服務(wù)器提供一個機器可讀的描述（通常基于WSDL）以辨識服務(wù)器所提供的 Web 服務(wù)。另外，雖然 WSDL 不是 SOAP 服務(wù)端點的必要條件，但目前基于Java 的主流 Web 服務(wù)開發(fā)框架往往需要 WSDL 實現(xiàn)客戶端的源代碼生成。一些工業(yè)標準化組織，比如 WS-I，就在 Web 服務(wù)定義中強制包含 SOAP 和 WSDL。

Web Service 是一種比較“重”和“老”的 Web 接口技術(shù)，目前大部分應用于金融機構(gòu)的歷史應用和比較老的應用中。

1.3 RESTful API

REST，全稱是 Resource Representational State Transfer，通俗來講就是，資源在網(wǎng)絡(luò)中以某種表現(xiàn)形式進行狀態(tài)轉(zhuǎn)移。分解開來：

Resource：資源，即數(shù)據(jù)（前面說過網(wǎng)絡(luò)的核心）。比如 newsfeed，friends等；
Representational：某種表現(xiàn)形式，比如用JSON，XML，JPEG等；
State Transfer：狀態(tài)變化。通過HTTP動詞實現(xiàn)。

RESTful API 就是符合 REST 風格的 API，傳遞數(shù)據(jù)也是2種形式：

XML，少見
json，常見，現(xiàn)在 Web 應用基本使用這種形式的 API。

1.4 MVC、MVP、MVVM

Web 應用程序和 APP 應用程序的 API 跟目前的流行框架和模式相關(guān)，主要有3種模式：MVC、MVP、MVVM。

MVC 將整個應用分成 Model、View 和 Controller 三個部分，而這些組成部分其實也有著幾乎相同的職責。

視圖：管理作為位圖展示到屏幕上的圖形和文字輸出；
控制器：翻譯用戶的輸入并依照用戶的輸入操作模型和視圖；
模型：管理應用的行為和數(shù)據(jù)，響應數(shù)據(jù)請求（經(jīng)常來自視圖）和更新狀態(tài)的指令（經(jīng)常來自控制器）；

此類模式和架構(gòu)的應用越來越多導致 API 接口的應用也越來越流行。想了解更多可以在網(wǎng)上查找相關(guān)資料。

2 API 測試環(huán)境和測試工具

2.1 Web Service 測試

2.1.1 找 Webservice 接口

Google hacking

inurl:jws?wsdl
inurl:asmx?wsdl
inurl:aspx?wsdl
inurl:ascx?wsdl
inurl:ashx?wsdl
inurl:dll?wsdl
inurl:exe?wsdl
inurl:php?wsdl
inurl:pl?wsdl
inurl:?wsdl
filetype:jws
filetype:asmx
filetype:ascx
filetype:aspx
filetype:ashx
filetype:dll
filetype:exe
filetype:php
filetype:pl
filetype:wsdl wsdl

fuzzing
爬蟲

2.1.2 測試工具

涉及主要工具：

Soap UI PRO，滲透測試流程的發(fā)起，通信報文的解析、集合payload之后通信報文的重新組裝等，14天試用，可以做自動化測試。
SoapUI Free，手工測試
SOAPSonar，SOAP UI 的替代。
Burp Suite，代理攔截，跟蹤通信過程和結(jié)果，對通信進行重放和二次處理等。
WSSAT
WS-Attacker

### 2.1.3 測試項目

Fuzzing
XSS /SQLi/ Malformed XML
File Upload
Xpath Injection
XML Bomb (DoS)
Authentication based attacks
Replay attacks
Session fixation
XML Signature wrapping
Session timeout
Host Cipher Support/ Valid Certificate/ Protocol Support
Hashing Algorithm Support

2.1.4 手工測試方法

主要使用 Soap UI Open Source，有安全測試Case，需要配置 SOAP 代理到 Burp，數(shù)據(jù)流，現(xiàn)在的版本是5.4.0。

代理配置

可以用 Burp 重放 SOAP 的探測 Payload。
使用 Soap UI Open Source，測試步驟：

創(chuàng)建工作空間
新建 SOAP 項目
增加 WSDL，配置名稱和 WSDL 鏈接
選擇要測試的 TestSuite，增加一個安全測試
選擇測試的類型，運行測試

2.1.5 自動化測試

SOAP 配置，2步，“File”-“Preference”-“Proxy”，設(shè)置 Burp 代理

直接在 Soup UI 主菜單上選擇運行一個測試。

在彈出窗口中輸入 WSDL 地址。

SUAP UI 會自動探測接口。然后在項目-測試Case的右鍵菜單中選擇安全測試

運行安全測試。

Burp 代理會捕獲所有的測試請求

其他工具介紹
WSSAT，選擇加載存在 WSDL 列表的文件，運行。

WS-Attacker

AWVS 的掃描也能直接測試 Web Service

2.2 RESTful API 測試

2.2.1 測試工具

常見的瀏覽器插件

Chrome Restlet Client

- Firefox RESTClient

客戶端工具

Postman

- Swagger

通常使用 Postman 的情況多些，有機會的話問下開發(fā)如何配置測試環(huán)境，直接配置一套一樣的。
Postman 的代理配置：

3 常見 API 相關(guān)漏洞和測試方法

還是主要以 Restful API 說明。

3.1 邏輯越權(quán)類

本質(zhì)上可以說是不安全的直接對象引用，可以通過修改可猜測的參數(shù)獲取不同參數(shù)下的響應結(jié)果。參數(shù)可以是用戶名、用戶 ID，連續(xù)的數(shù)字，變形的連續(xù)數(shù)字（各種編碼或哈希），通過直接修改參數(shù)值完成越權(quán)的操作。

示例：