API安全实战：从PortSwigger API Testing入门<\/h1>

前言<\/h2>
API（应用程序编程接口）是现代软件系统和应用程序之间通信和共享数据的核心组件。API安全测试至关重要，因为API中的漏洞可能会破坏网站的机密性、完整性和可用性。本文将基于PortSwigger的API测试实验，详细介绍API安全测试的关键技术和方法。<\/p>

实验环境<\/h2>

实验平台<\/strong>: https:\/\/portswigger.net\/web-security\/api-testing\/<\/li>
测试账号<\/strong>: wiener\/peter<\/li>

实验目标<\/strong>: 学习并掌握API安全测试的核心技术<\/li> <\/ul>
Lab1: 使用文档利用API端点<\/h2>
实验目标<\/h3>
通过API文档发现并利用API端点进行未授权操作。<\/p>
实验步骤<\/h3>

正常登录流程<\/strong>:<\/p>

使用提供的凭证(wiener\/peter)正常登录系统<\/li>
在更新邮箱功能处拦截请求<\/li> <\/ul> <\/li>

API端点探测<\/strong>:<\/p>

尝试修改请求路径为\/api\/user<\/code> → 返回错误<\/li>
尝试\/api\/<\/code> → 返回错误<\/li>
尝试\/api<\/code> → 302跳转<\/li> <\/ul> <\/li>
发现交互式API文档<\/strong>:<\/p> 通过上述探测发现系统提供交互式API文档<\/li> 在文档中查找可利用的API端点<\/li> <\/ul> <\/li> <\/ol> 技术要点<\/h3> API端点枚举是API测试的第一步<\/li> 交互式API文档常包含未保护的关键信息<\/li> 302跳转可能指向API文档入口<\/li> <\/ul> Lab2: 查找并利用未使用的API端点<\/h2> 实验目标<\/h3> 发现隐藏的API端点并利用其购买"轻量级l33t皮夹克"。<\/p> 实验步骤<\/h3> 基础探测<\/strong>:<\/p> 发送GET请求到\/api\/<\/code> → 404错误<\/li> 修改为OPTIONS方法请求 → 无有效响应<\/li> 修改为PATCH方法 → 400错误<\/li> <\/ul> <\/li> 深入测试<\/strong>:<\/p> 发现需要修改Content-Type为application\/json<\/code><\/li> 分析请求路径，发现与夹克价格相关<\/li> 构造JSON数据将价格修改为0: { <\/span><\/span> "price"<\/span>: 0<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 刷新界面后直接以0元购买目标商品<\/li> <\/ul> <\/li> <\/ol> 技术要点<\/h3> HTTP方法枚举(PATCH\/OPTIONS等)可发现隐藏功能<\/li> Content-Type修改是绕过API限制的常见技术<\/li> 直接操作API可能绕过前端验证逻辑<\/li> <\/ul> Lab3: 利用批量分配漏洞<\/h2> 实验目标<\/h3> 通过批量分配漏洞提升用户权限。<\/p> 实验步骤<\/h3> 分析正常用户对象<\/strong>:<\/p> 查看普通用户返回的JSON数据结构<\/li> 识别可能的权限字段(如"isAdmin")<\/li> <\/ul> <\/li> 构造恶意请求<\/strong>:<\/p> 在更新用户信息时添加"isAdmin": true<\/code><\/li> 发送修改后的请求: { <\/span><\/span> "email"<\/span>: "attacker@example.com"<\/span>, <\/span><\/span> "isAdmin"<\/span>: true<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 验证权限提升<\/strong>:<\/p> 重新登录验证管理员权限<\/li> 访问管理员功能确认漏洞利用成功<\/li> <\/ul> <\/li> <\/ol> 技术要点<\/h3> 批量分配漏洞源于API接受过多客户端控制参数<\/li> 关键在识别服务器接受但前端不显示的字段<\/li> 权限字段通常有固定命名模式(isAdmin, role等)<\/li> <\/ul> Lab4: 测试查询字符串中的服务器端参数污染<\/h2> 实验目标<\/h3> 通过查询字符串参数污染绕过API限制。<\/p> 实验步骤<\/h3> 识别过滤参数<\/strong>:<\/p> 发现API使用参数如category<\/code>进行过滤<\/li> 正常请求: \/api\/products?category=electronics<\/code><\/li> <\/ul> <\/li> 参数污染测试<\/strong>:<\/p> 尝试重复参数: \/api\/products?category=electronics&category=accessories<\/code><\/li> 尝试数组形式: \/api\/products?category[]=electronics&category[]=accessories<\/code><\/li> 尝试不同分隔符: \/api\/products?category=electronics,accessories<\/code><\/li> <\/ul> <\/li> 绕过限制<\/strong>:<\/p> 发现服务器处理最后一个参数<\/li> 构造请求获取受限数据<\/li> <\/ul> <\/li> <\/ol> 技术要点<\/h3> 参数解析差异导致的安全问题<\/li> 不同服务器对重复参数处理方式不同<\/li> 数组形式参数可能绕过某些过滤逻辑<\/li> <\/ul> Lab5: 测试REST路径中的服务器端参数污染<\/h2> 实验目标<\/h3> 通过REST路径参数污染访问受限资源。<\/p> 实验步骤<\/h3> 分析正常API结构<\/strong>:<\/p> 正常用户信息路径: \/api\/users\/wiener<\/code><\/li> <\/ul> <\/li> 路径遍历测试<\/strong>:<\/p> 尝试路径遍历: \/api\/users\/..\/admin<\/code><\/li> 尝试编码字符: \/api\/users\/%2e%2f%2e%2fadmin<\/code><\/li> 尝试多重路径: \/api\/users\/wiener\/..\/..\/admin<\/code><\/li> <\/ul> <\/li> 绕过访问控制<\/strong>:<\/p> 发现特定路径构造可访问管理员接口<\/li> 获取敏感信息或执行特权操作<\/li> <\/ul> <\/li> <\/ol> 技术要点<\/h3> REST路径解析差异可导致授权绕过<\/li> 编码和多重路径是常见测试技术<\/li> 服务器规范化处理可能引入漏洞<\/li> <\/ul> API安全测试方法论<\/h2> 1. 信息收集阶段<\/h3> 查找API文档(Swagger\/OpenAPI等)<\/li> 分析JavaScript文件中的API端点<\/li> 使用OPTIONS方法发现可用端点<\/li> <\/ul> 2. 端点测试技术<\/h3> HTTP方法覆盖测试(GET\/POST\/PUT\/DELETE等)<\/li> 参数模糊测试<\/li> 注入测试(SQLi\/XSS\/命令注入等)<\/li> 业务逻辑测试<\/li> <\/ul> 3. 认证授权测试<\/h3> Token安全性分析<\/li> JWT测试<\/li> OAuth流程测试<\/li> 权限提升测试<\/li> <\/ul> 4. 数据验证测试<\/h3> 输入验证绕过<\/li> 批量分配测试<\/li> 数据过滤测试<\/li> <\/ul> 常见API漏洞类型<\/h2> 失效的对象级授权(BOLA)<\/strong><\/p> 通过修改ID访问他人资源<\/li> 防护: 每次访问检查权限<\/li> <\/ul> <\/li> 失效的用户认证<\/strong><\/p> Token安全问题<\/li> 防护: 安全Token处理<\/li> <\/ul> <\/li> 过度的数据暴露<\/strong><\/p> 返回过多信息<\/li> 防护: 严格过滤响应<\/li> <\/ul> <\/li> 资源缺乏限制<\/strong><\/p> 无速率限制<\/li> 防护: 实施API限流<\/li> <\/ul> <\/li> 失效的功能级授权<\/strong><\/p> 未验证调用者权限<\/li> 防护: 统一授权机制<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 实施严格的输入验证<\/strong><\/p> 定义明确的API schema<\/li> 拒绝未知属性<\/li> <\/ul> <\/li> 完善的访问控制<\/strong><\/p> 基于角色的访问控制<\/li> 记录所有访问尝试<\/li> <\/ul> <\/li> 安全的认证机制<\/strong><\/p> 使用标准认证协议<\/li> Token安全措施<\/li> <\/ul> <\/li> 全面的日志记录<\/strong><\/p> 记录所有API调用<\/li> 监控异常行为<\/li> <\/ul> <\/li> 定期安全测试<\/strong><\/p> 自动化API扫描<\/li> 手动渗透测试<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> API安全是现代Web应用安全的重要组成部分。通过PortSwigger的API测试实验，我们学习了API端点发现、未使用端点利用、批量分配漏洞、参数污染等关键技术。在实际安全测试中，需要结合自动化工具和手动测试，全面评估API安全性。记住，API安全的核心原则是最小权限、输入验证和深度防御。<\/p>

API安全实战：从PortSwigger API Testing入门<\/h1>

Lab1: 使用文档利用API端点<\/h2>

实验目标<\/h3> 通过API文档发现并利用API端点进行未授权操作。<\/p>

Lab2: 查找并利用未使用的API端点<\/h2>

实验目标<\/h3> 发现隐藏的API端点并利用其购买"轻量级l33t皮夹克"。<\/p>

Lab3: 利用批量分配漏洞<\/h2>

实验目标<\/h3> 通过批量分配漏洞提升用户权限。<\/p>

Lab4: 测试查询字符串中的服务器端参数污染<\/h2>

实验目标<\/h3> 通过查询字符串参数污染绕过API限制。<\/p>

Lab5: 测试REST路径中的服务器端参数污染<\/h2>

实验目标<\/h3> 通过REST路径参数污染访问受限资源。<\/p>

API安全测试方法论<\/h2>

实验目标<\/h3>
通过API文档发现并利用API端点进行未授权操作。<\/p>

实验目标<\/h3>
发现隐藏的API端点并利用其购买"轻量级l33t皮夹克"。<\/p>

实验目标<\/h3>
通过批量分配漏洞提升用户权限。<\/p>

实验目标<\/h3>
通过查询字符串参数污染绕过API限制。<\/p>

实验目标<\/h3>
通过REST路径参数污染访问受限资源。<\/p>