vs2010网站开发与发布,官网设计需要多少钱,网站开发外包哪家好,深圳鲜花团购网站建设1 API 接口介绍
1.1 RPC#xff08;远程过程调用#xff09;
远程过程调用#xff08;英语#xff1a;Remote Procedure Call#xff0c;缩写为 RPC#xff09;是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序#xff0c;而程序员无…1 API 接口介绍
1.1 RPC远程过程调用
远程过程调用英语Remote Procedure Call缩写为 RPC是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程那么远程过程调用亦可称作远程调用或远程方法调用例Java RMI。
RPC 一般直接使用 TCP 协议进行通信通常不涉及到 HTTP。HTTP 下面有2种技术
XML-RPChttps://zh.wikipedia.org/wiki/XML-RPCJSON-RPChttps://zh.wikipedia.org/wiki/JSON-RPC
Web service 和 RESTful API 都可算作远程过程调用的子集。
1.2 Web Service
Web Service 是一种服务导向架构的技术通过标准的Web协议提供服务目的是保证不同平台的应用服务可以互操作。
根据 W3C 的定义Web 服务Web service应当是一个软件系统用以支持网络间不同机器的互动操作。网络服务通常是许多应用程序接口API所组成的它们透过网络例如国际互联网Internet的远程服务器端执行客户所提交服务的请求。
尽管W3C的定义涵盖诸多相异且无法介分的系统不过通常我们指有关于主从式架构Client-server之间根据 SOAP 协议进行传递 XML 格式消息。无论定义还是实现Web 服务过程中会由服务器提供一个机器可读的描述通常基于WSDL以辨识服务器所提供的 Web 服务。另外虽然 WSDL 不是 SOAP 服务端点的必要条件但目前基于Java 的主流 Web 服务开发框架往往需要 WSDL 实现客户端的源代码生成。一些工业标准化组织比如 WS-I就在 Web 服务定义中强制包含 SOAP 和 WSDL。
Web Service 是一种比较“重”和“老”的 Web 接口技术目前大部分应用于金融机构的历史应用和比较老的应用中。
1.3 RESTful API
REST全称是 Resource Representational State Transfer通俗来讲就是资源在网络中以某种表现形式进行状态转移。分解开来
Resource资源即数据前面说过网络的核心。比如 newsfeedfriends等Representational某种表现形式比如用JSONXMLJPEG等State Transfer状态变化。通过HTTP动词实现。
RESTful API 就是符合 REST 风格的 API传递数据也是2种形式
XML少见json常见现在 Web 应用基本使用这种形式的 API。
1.4 MVC、MVP、MVVM
Web 应用程序和 APP 应用程序的 API 跟目前的流行框架和模式相关主要有3种模式MVC、MVP、MVVM。
MVC 将整个应用分成 Model、View 和 Controller 三个部分而这些组成部分其实也有着几乎相同的职责。
视图管理作为位图展示到屏幕上的图形和文字输出控制器翻译用户的输入并依照用户的输入操作模型和视图模型管理应用的行为和数据响应数据请求经常来自视图和更新状态的指令经常来自控制器 此类模式和架构的应用越来越多导致 API 接口的应用也越来越流行。想了解更多可以在网上查找相关资料。
2 API 测试环境和测试工具
2.1 Web Service 测试
2.1.1 找 Webservice 接口
Google hacking inurl:jws?wsdlinurl:asmx?wsdlinurl:aspx?wsdlinurl:ascx?wsdlinurl:ashx?wsdlinurl:dll?wsdlinurl:exe?wsdlinurl:php?wsdlinurl:pl?wsdlinurl:?wsdlfiletype:jwsfiletype:asmxfiletype:ascxfiletype:aspxfiletype:ashxfiletype:dllfiletype:exefiletype:phpfiletype:plfiletype:wsdl wsdlfuzzing爬虫
2.1.2 测试工具
涉及主要工具
Soap UI PRO渗透测试流程的发起通信报文的解析、集合payload之后通信报文的重新组装等14天试用可以做自动化测试。SoapUI Free手工测试SOAPSonarSOAP UI 的替代。Burp Suite代理拦截跟踪通信过程和结果对通信进行重放和二次处理等。WSSATWS-Attacker
### 2.1.3 测试项目
FuzzingXSS /SQLi/ Malformed XMLFile UploadXpath InjectionXML Bomb (DoS)Authentication based attacksReplay attacksSession fixationXML Signature wrappingSession timeoutHost Cipher Support/ Valid Certificate/ Protocol SupportHashing Algorithm Support
2.1.4 手工测试方法
主要使用 Soap UI Open Source有安全测试Case需要配置 SOAP 代理到 Burp数据流现在的版本是5.4.0。 代理配置 可以用 Burp 重放 SOAP 的探测 Payload。
使用 Soap UI Open Source测试步骤
创建工作空间新建 SOAP 项目增加 WSDL配置名称和 WSDL 链接选择要测试的 TestSuite增加一个安全测试 选择测试的类型运行测试 2.1.5 自动化测试
SOAP 配置2步“File”-“Preference”-“Proxy”设置 Burp 代理 直接在 Soup UI 主菜单上选择运行一个测试。 在弹出窗口中输入 WSDL 地址。 SUAP UI 会自动探测接口。然后在项目-测试Case的右键菜单中选择安全测试 运行安全测试。 Burp 代理会捕获所有的测试请求 其他工具介绍
WSSAT选择加载存在 WSDL 列表的文件运行。 WS-Attacker AWVS 的扫描也能直接测试 Web Service
2.2 RESTful API 测试
2.2.1 测试工具
常见的浏览器插件 Chrome Restlet Client - Firefox RESTClient 客户端工具 Postman - Swagger
通常使用 Postman 的情况多些有机会的话问下开发如何配置测试环境直接配置一套一样的。
Postman 的代理配置 3 常见 API 相关漏洞和测试方法
还是主要以 Restful API 说明。
3.1 逻辑越权类
本质上可以说是不安全的直接对象引用可以通过修改可猜测的参数获取不同参数下的响应结果。参数可以是用户名、用户 ID连续的数字变形的连续数字各种编码或哈希通过直接修改参数值完成越权的操作。
示例
https://wooyun.shuimugan.com/bug/view?bug_no189225https://wooyun.shuimugan.com/bug/view?bug_no150462https://wooyun.shuimugan.com/bug/view?bug_no140374https://wooyun.shuimugan.com/bug/view?bug_no106709
3.2 输入控制类
XXERestful API 的注入漏洞XSS溢出特殊字符的处理。
示例
https://wooyun.shuimugan.com/bug/view?bug_no211103https://wooyun.shuimugan.com/bug/view?bug_no132270https://wooyun.shuimugan.com/bug/view?bug_no8714
3.3 接口滥用
没有请求频率限制导致的各种爆破和遍历如短信验证码爆破、登录爆破、手机号遍历、身份证遍历等。
示例
https://wooyun.shuimugan.com/bug/view?bug_no141419https://wooyun.shuimugan.com/bug/view?bug_no66571https://wooyun.shuimugan.com/bug/view?bug_no36058https://wooyun.shuimugan.com/bug/view?bug_no147334
3.4 信息泄露
包括越权导致的信息泄露、畸形请求导致的报错响应。
示例
https://wooyun.shuimugan.com/bug/view?bug_no171313https://wooyun.shuimugan.com/bug/view?bug_no160095https://wooyun.shuimugan.com/bug/view?bug_no127457
3.5 HTTP 响应头控制
关于响应头
发送 X-Content-Type-Options: nosniff 头。发送 X-Frame-Options: deny 头。发送 Content-Security-Policy: default-src none 头。删除指纹头 - X-Powered-By, Server, X-AspNet-Version 等等。在响应中强制使用 content-type。
3.6 服务端配置漏洞
如服务端版本信息泄露或服务端程序本身存在漏洞等。
4 API 安全加固
根据上面讲的测试方法一般需要做好
认证和授权控制用户输入控制接口请求频率的限制输出控制添加安全响应头参数
参考 API-Security-Checklist 和历史上的渗透测试结果设计适合自己组织的 API 安全开发规范。
最后感谢每一个认真阅读我文章的人礼尚往来总是要有的这些资料对于【软件测试】的朋友来说应该是最全面最完整的备战仓库虽然不是什么很值钱的东西如果你用得到的话可以直接拿走 这些资料对于【软件测试】的朋友来说应该是最全面最完整的备战仓库这个仓库也陪伴上万个测试工程师们走过最艰难的路程希望也能帮助到你
