第65天：API攻防-接口安全&WebPack&REST&SOAP&WSDL&WebService

目录

思维导图

前置知识

案例一：WebService 类-Wsdl&ReadyAPI-SQL 注入

案例二：SOAP 类-Swagger&SoapUI&EXP-信息泄露

案例三：HTTP 类-WebPack&PackerFuzzer-信息泄露

---

思维导图

前置知识

RPC接口: 登录游戏时候登录账号密码，如果利用接口就属于RPC

http接口：正常网站

web-service接口：专门在网站上传输数据的接口

SOAP（Simple Object Access Protocol）简单对象访问协议是交换数据的一种协
议规范，是一种轻量的、简单的、基于 XML（标准通用标记语言下的一个子集）的协议，
它被设计成在 WEB 上交换结构化的和固化的信息。SOAP 不是 Web Service 的专有协
议。
SOAP 使用 HTTP 来发送 XML 格式的数据，可以简单理解为：SOAP = HTTP +XML
REST（Representational State Transfer）即表述性状态传递，在三种主流的
Web 服务实现方案中，因为 REST 模式的 Web 服务与复杂的 SOAP 和 XML-RPC 对比来讲
明显的更加简洁，越来越多的 Web 服务开始采用 REST 风格设计和实现。例如，
Amazon.com 提供接近 REST 风格的 Web 服务进行图书查找；雅虎提供的 Web 服务也是
REST 风格的。

WSDL（Web Services Description Language）即网络服务描述语言，用于描述
Web 服务的公共接口。这是一个基于 XML 的关于如何与 Web 服务通讯和使用的服务描
述；也就是描述与目录中列出的 Web 服务进行交互时需要绑定的协议和信息格式。通常
采用抽象语言描述该服务支持的操作和信息，使用的时候再将实际的网络协议和信息格式
绑定给该服务。

接口数据包：

Method:请求方法
攻击方式：OPTIONS,PUT,MOVE,DELETE
效果：上传恶意文件，修改页面等
URL:唯一资源定位符
攻击方式：猜测，遍历，跳转
效果：未授权访问等
Params:请求参数
攻击方式：构造参数，修改参数，遍历，重发
效果：爆破，越权，未授权访问，突破业务逻辑等
Authorization:认证方式
攻击方式：身份伪造，身份篡改
效果：越权，未授权访问等
Headers:清求消息头
攻击方式：拦截数据包，改Hosts,
改Referer,改Content-Type等
效果：绕过身份认证，绕过Referer验证，绕过类型验证，DDOS等
Body:消息体
攻击方式：SQL注入，XML注入，反序列化等
效果：提权，突破业务逻辑，未授权访问等

安全问题：

XSS跨站，信息泄露，暴力破解，文件上传，未授权访问，JWT授权认证，接口滥用等

案例一：WebService 类-Wsdl&ReadyAPI-SQL 注入

看到类似这种界面就知道这里是接口

在后面加上?wsdl   以xml格式查看所有的数据

谷歌黑客语句搜索：site:edu.cn inurl:asmx?wsdl可以找到类似这种格式的网站

往往在该接口中可以查询数据，造成敏感信息泄露，或者查询时对输入的数据过滤不完整的话，也会造成sql注入漏洞,但是现在大多数网站也都做了限制

当有很多接口的时候不可能一个一个去测试，需要利用工具去探测

soapui利用过程

点击展开可以获取数据包，进行修改

修改后可以发送

但是也需要去一个一个的点，还有一款自动化的工具readapi（收费），并且该工具可以直接测试安全问题，输入刚才地址自动检测，然后生成报告

如何发现？

用爬虫（awvs，xray）做目录扫描，如果有?wsdl去做测试

案例二：SOAP 类-Swagger&SoapUI&EXP-信息泄露

Swagger类似phpmyadmin一样，是一个去管理api接口的平台

fofa搜索语句："Swagger" && title=="Swagger UI"

管理页面

如何判断用没用swagger

方法一：查看js资源中有没有请求swagger

方法二：目录扫描，有以下类似格式的目录证明有

/swagger
/api/swagger
/swagger/ui
/api/swagger/ui
/swagger-ui.html
/api/swagger-ui.html
/user/swagger-ui.html
/libs/swaggerui
/api/swaggerui
/swagger-resources/configuration/ui
/swagger-resources/configuration/security

可以利用工具soapui把该地址写上去

写入地址

大部分都无法利用，这里好不容易找到一个可以利用的

该工具仅仅可以测试这些接口是否是能用的

这里有两款测试安全问题的脚本

https://github.com/lijiejie/swagger-exp

GitHub - jayus0821/swagger-hack: 自动化爬取并自动测试所有swagger接口

该地址中记录了接口当中的所有数据

测试完成后会生成一个图中的文件

主要看三个数据

主要查看状态码为200的，看里面有没有什么核心数据

这里很遗憾，只有一个为200的，看起来像账号密码类似的数据

视频中执行效果获得了很多的数据

利用思路：

网站很可能在该ip不同端口之下搭建，利用这些信息，去寻找他的网站利用

案例三：HTTP 类-WebPack&PackerFuzzer-信息泄露

webpack是一个静态模块打包工具，用于现代JavaScript应用程序。具体来说，webpack的作用包括：

• 打包资源：webpack可以将多个JavaScript模块，以及其他资源如样式表、图片等打包成一个或多个静态资源文件，以便在浏览器中加载和使用。
• 处理依赖关系：webpack会根据模块的依赖关系进行静态分析，构建依赖图，从而确定需要打包的文件和顺序。
• 优化和压缩：webpack可以对打包后的文件进行各种优化和压缩，如代码拆分、按需加载、压缩JS、CSS等，以降低文件大小，提高加载速度。
• 提供丰富的插件接口：webpack具有强大的插件接口，可以扩展其功能，例如支持多种JS书写规范、对图片进行优化等。

总的来说，webpack的主要作用是对前端资源进行统一的管理、打包、优化和发布，提高开发效率和网站性能。

如何发现：

1. 利用wappalyzer插件

​

2. 查看js返回包，有webpack*.js  或者_app*.js  里面会请求一些url地址

工具PackerFuzzer: https://github.com/rtcatc/Packer-Fuzzer

本工具支持自动模糊提取对应目标站点的API以及API对应的参数内容，并支持对：未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后，本工具还支持自动生成扫描报告，您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。

利用过程，先安装插件

pip3 install -r requirements.txt
pip.exe install pyExecJs

执行

报告在reports目录下

该报告没有安全问题

视频当中有安全问题