API测试与漏洞利用：PortSwigger靶场实战指南<\/h1>

1. API基础概念<\/h2>

1.1 什么是API<\/h3>

API（Application Programming Interface）是应用程序对外提供功能的接口。现代Web开发中主要有三种API风格：<\/p>

JSON风格API<\/strong>：<\/p>

使用JSON格式传输数据<\/li>
示例：
POST<\/span> \/api\/getUser HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> example.com<\/span> <\/span><\/span>Content-Type:<\/span> application\/json<\/span> <\/span><\/span> <\/span><\/span>{ "userId"<\/span>: 1<\/span> } <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> RESTful风格API<\/strong>：<\/p> 基于HTTP方法定义操作<\/li> 资源导向设计<\/li> 示例： GET<\/span> \/api\/users\/1 HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> example.com<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> GraphQL风格API<\/strong>：<\/p> 灵活的查询语言<\/li> 客户端定义所需数据<\/li> 示例： POST<\/span> \/graphql HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> example.com<\/span> <\/span><\/span>Content-Type:<\/span> application\/json<\/span> <\/span><\/span> <\/span><\/span>{ "query"<\/span>: "{ user(id: 1) { id, name, email } }"<\/span> } <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 1.2 API测试概述<\/h3> API测试主要关注：<\/p> 对开放API期望运行逻辑的破坏<\/li> 对未开放API的检测和调用<\/li> <\/ul> 可能导致的风险：<\/p> 敏感信息泄露<\/li> 应用行为被改变<\/li> 未授权访问<\/li> 权限提升<\/li> <\/ul> 2. API测试关键点<\/h2> 测试API时应关注以下方面：<\/p> 数据处理<\/strong>：<\/p> 必需参数和可选参数<\/li> 参数格式和类型<\/li> 边界条件<\/li> <\/ul> <\/li> 请求类型<\/strong>：<\/p> 支持的HTTP方法<\/li> 接受的媒体格式(Content-Type)<\/li> <\/ul> <\/li> 安全机制<\/strong>：<\/p> 速率限制<\/li> 认证机制<\/li> 授权控制<\/li> <\/ul> <\/li> 交互方式<\/strong>：<\/p> 使用不同HTTP方法测试<\/li> 尝试不同Content-Type<\/li> <\/ul> <\/li> <\/ol> 3. HTTP方法详解<\/h2> 3.1 HTTP\/1.0方法<\/h3> GET<\/strong>：<\/p> 请求指定资源的表示形式<\/li> 只应用于获取数据<\/li> <\/ul> <\/li> HEAD<\/strong>：<\/p> 与GET请求响应相同，但没有响应体<\/li> <\/ul> <\/li> POST<\/strong>：<\/p> 将实体提交到指定资源<\/li> 通常导致服务器状态变化<\/li> <\/ul> <\/li> <\/ol> 3.2 HTTP\/1.1新增方法<\/h3> OPTIONS<\/strong>：<\/p> 描述目标资源的通信选项<\/li> <\/ul> <\/li> PUT<\/strong>：<\/p> 用有效载荷替换目标资源的所有当前表示<\/li> <\/ul> <\/li> DELETE<\/strong>：<\/p> 删除指定资源<\/li> <\/ul> <\/li> TRACE<\/strong>：<\/p> 执行消息环回测试<\/li> <\/ul> <\/li> CONNECT<\/strong>：<\/p> 建立到目标服务器的隧道<\/li> <\/ul> <\/li> PATCH<\/strong>：<\/p> 对资源应用部分修改<\/li> <\/ul> <\/li> <\/ol> 4. 常用Content-Type<\/h2> Content-Type<\/th> 用途<\/th> <\/tr> <\/thead> application\/json<\/td> JSON格式数据传输，RESTful API常用<\/td> <\/tr> text\/html<\/td> HTML格式数据传输，Web页面响应<\/td> <\/tr> application\/x-www-form-urlencoded<\/td> HTML表单提交编码方式<\/td> <\/tr> multipart\/form-data<\/td> 文件上传表单编码方式<\/td> <\/tr> text\/plain<\/td> 纯文本数据传输<\/td> <\/tr> application\/xml<\/td> XML格式数据传输<\/td> <\/tr> application\/javascript<\/td> JavaScript代码传输<\/td> <\/tr> application\/octet-stream<\/td> 二进制数据传输，文件下载<\/td> <\/tr> image\/jpeg<\/td> JPEG图像传输<\/td> <\/tr> image\/png<\/td> PNG图像传输<\/td> <\/tr> <\/tbody> <\/table> 5. 靶场实战案例<\/h2> 5.1 Lab1: 利用文档中的API端点<\/h3> 目标<\/strong>：删除用户carlos的账户<\/p> 步骤<\/strong>：<\/p> 登录网站并尝试所有功能<\/li> 观察Burp Suite的HTTP History<\/li> 发现PATCH请求端点\/api\/user\/wiener<\/code><\/li> 修改HTTP方法为DELETE，针对用户carlos发送请求<\/li> <\/ol> 关键点<\/strong>：<\/p> HTTP方法转换测试<\/li> 端点路径推断<\/li> <\/ul> 5.2 Lab2: 查询字符串中的服务器端参数污染<\/h3> 目标<\/strong>：登录administrator账户并删除carlos账户<\/p> 步骤<\/strong>：<\/p> 执行所有操作并观察HTTP History<\/li> 将\/fogot-password<\/code>的POST请求发送到Repeater<\/li> 使用Intruder模块爆破field参数<\/li> 发现GET \/static\/js\/forgotPassword.js<\/code>文件<\/li> 分析JS代码发现reset_token<\/code>参数<\/li> 构造GET请求利用参数污染<\/li> 重置密码并删除目标账户<\/li> <\/ol> 关键点<\/strong>：<\/p> 参数污染漏洞利用<\/li> 前端JS代码分析<\/li> 参数值爆破<\/li> <\/ul> 5.3 Lab3: 发现和利用未使用的API端点<\/h3> 目标<\/strong>：购买一件商品（绕过支付）<\/p> 步骤<\/strong>：<\/p> 尝试所有功能发现无法充值<\/li> 观察HTTP History发现GET \/api\/products\/1\/price<\/code><\/li> 发送OPTIONS请求发现允许GET和PATCH<\/li> 构造PATCH请求修改价格<\/li> 实现零元购<\/li> <\/ol> 关键点<\/strong>：<\/p> 未文档化端点发现<\/li> HTTP方法测试<\/li> 参数格式猜测<\/li> <\/ul> 5.4 Lab4: 利用批量赋值漏洞<\/h3> 目标<\/strong>：购买一件商品（绕过支付）<\/p> 步骤<\/strong>：<\/p> 尝试所有功能并观察HTTP History<\/li> 发现POST \/api\/checkout<\/code>和GET \/api\/checkout<\/code><\/li> 分析交易信息结构<\/li> 修改折扣相关字段<\/li> 成功绕过支付<\/li> <\/ol> 关键点<\/strong>：<\/p> 批量赋值漏洞<\/li> 数据结构分析<\/li> 敏感字段识别<\/li> <\/ul> 5.5 Lab5: REST URL中的服务器端参数污染<\/h3> 目标<\/strong>：登录administrator账户并删除carlos账户<\/p> 步骤<\/strong>：<\/p> 使用Lab2技巧测试<\/li> 推测服务端URL路径结构<\/li> 构造特殊username参数administrator\/field\/x%23<\/code><\/li> 分析forgotPassword.js<\/code>文件<\/li> 构造GET请求利用路径遍历<\/li> 重置密码并删除目标账户<\/li> <\/ol> 关键点<\/strong>：<\/p> 路径遍历技巧<\/li> URL编码利用<\/li> 防御绕过<\/li> <\/ul> 6. API安全防御措施<\/h2> 设计阶段考虑安全<\/strong>：<\/p> 从系统设计初期纳入安全考量<\/li> 遵循最小权限原则<\/li> <\/ul> <\/li> 文档管理<\/strong>：<\/p> 保护API文档不被公开访问<\/li> 确保文档全面性，便于合法测试<\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 限制接受的HTTP方法<\/li> 验证请求\/响应格式<\/li> 使用通用错误信息<\/li> <\/ul> <\/li> 版本管理<\/strong>：<\/p> 对所有API版本实施安全措施<\/li> 不只是保护当前主要版本<\/li> <\/ul> <\/li> 属性控制<\/strong>：<\/p> 用户可修改属性列入白名单<\/li> 敏感属性列入黑名单<\/li> <\/ul> <\/li> 持续监控<\/strong>：<\/p> 记录和监控API访问<\/li> 及时检测异常行为<\/li> <\/ul> <\/li> <\/ol> 7. 总结<\/h2> API测试是Web安全测试的重要组成部分，通过本指南中的方法和技巧，可以有效地发现和利用API中的安全漏洞。关键点包括：<\/p> 全面理解API的工作原理和设计风格<\/li> 系统性地测试各种HTTP方法和参数<\/li> 善于分析前端代码和文档<\/li> 掌握参数污染、批量赋值等常见漏洞利用技术<\/li> 实施多层防御措施保护API安全<\/li> <\/ol> 通过PortSwigger靶场的实战练习，可以逐步掌握API测试的核心技能，为实际工作中的API安全评估打下坚实基础。<\/p>

Content-Type<\/th>	用途<\/th> <\/tr> <\/thead>
application\/json<\/td>	JSON格式数据传输，RESTful API常用<\/td> <\/tr>
text\/html<\/td>	HTML格式数据传输，Web页面响应<\/td> <\/tr>
application\/x-www-form-urlencoded<\/td>	HTML表单提交编码方式<\/td> <\/tr>
multipart\/form-data<\/td>	文件上传表单编码方式<\/td> <\/tr>
text\/plain<\/td>	纯文本数据传输<\/td> <\/tr>
application\/xml<\/td>	XML格式数据传输<\/td> <\/tr>
application\/javascript<\/td>	JavaScript代码传输<\/td> <\/tr>
application\/octet-stream<\/td>	二进制数据传输，文件下载<\/td> <\/tr>
image\/jpeg<\/td>	JPEG图像传输<\/td> <\/tr>
image\/png<\/td>	PNG图像传输<\/td> <\/tr> <\/tbody> <\/table> 5. 靶场实战案例<\/h2> 5.1 Lab1: 利用文档中的API端点<\/h3> 目标<\/strong>：删除用户carlos的账户<\/p> 步骤<\/strong>：<\/p> 登录网站并尝试所有功能<\/li> 观察Burp Suite的HTTP History<\/li> 发现PATCH请求端点`\/api\/user\/wiener<\/code><\/li>` 修改HTTP方法为DELETE，针对用户carlos发送请求<\/li> <\/ol> 关键点<\/strong>：<\/p> HTTP方法转换测试<\/li> 端点路径推断<\/li> <\/ul> 5.2 Lab2: 查询字符串中的服务器端参数污染<\/h3> 目标<\/strong>：登录administrator账户并删除carlos账户<\/p> 步骤<\/strong>：<\/p> 执行所有操作并观察HTTP History<\/li> 将\/fogot-password<\/code>的POST请求发送到Repeater<\/li> 使用Intruder模块爆破field参数<\/li> 发现GET \/static\/js\/forgotPassword.js<\/code>文件<\/li> 分析JS代码发现reset_token<\/code>参数<\/li> 构造GET请求利用参数污染<\/li> 重置密码并删除目标账户<\/li> <\/ol> 关键点<\/strong>：<\/p> 参数污染漏洞利用<\/li> 前端JS代码分析<\/li> 参数值爆破<\/li> <\/ul> 5.3 Lab3: 发现和利用未使用的API端点<\/h3> 目标<\/strong>：购买一件商品（绕过支付）<\/p> 步骤<\/strong>：<\/p> 尝试所有功能发现无法充值<\/li> 观察HTTP History发现GET \/api\/products\/1\/price<\/code><\/li> 发送OPTIONS请求发现允许GET和PATCH<\/li> 构造PATCH请求修改价格<\/li> 实现零元购<\/li> <\/ol> 关键点<\/strong>：<\/p> 未文档化端点发现<\/li> HTTP方法测试<\/li> 参数格式猜测<\/li> <\/ul> 5.4 Lab4: 利用批量赋值漏洞<\/h3> 目标<\/strong>：购买一件商品（绕过支付）<\/p> 步骤<\/strong>：<\/p> 尝试所有功能并观察HTTP History<\/li> 发现POST \/api\/checkout<\/code>和GET \/api\/checkout<\/code><\/li> 分析交易信息结构<\/li> 修改折扣相关字段<\/li> 成功绕过支付<\/li> <\/ol> 关键点<\/strong>：<\/p> 批量赋值漏洞<\/li> 数据结构分析<\/li> 敏感字段识别<\/li> <\/ul> 5.5 Lab5: REST URL中的服务器端参数污染<\/h3> 目标<\/strong>：登录administrator账户并删除carlos账户<\/p> 步骤<\/strong>：<\/p> 使用Lab2技巧测试<\/li> 推测服务端URL路径结构<\/li> 构造特殊username参数administrator\/field\/x%23<\/code><\/li> 分析forgotPassword.js<\/code>文件<\/li> 构造GET请求利用路径遍历<\/li> 重置密码并删除目标账户<\/li> <\/ol> 关键点<\/strong>：<\/p> 路径遍历技巧<\/li> URL编码利用<\/li> 防御绕过<\/li> <\/ul> 6. API安全防御措施<\/h2> 设计阶段考虑安全<\/strong>：<\/p> 从系统设计初期纳入安全考量<\/li> 遵循最小权限原则<\/li> <\/ul> <\/li> 文档管理<\/strong>：<\/p> 保护API文档不被公开访问<\/li> 确保文档全面性，便于合法测试<\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 限制接受的HTTP方法<\/li> 验证请求\/响应格式<\/li> 使用通用错误信息<\/li> <\/ul> <\/li> 版本管理<\/strong>：<\/p> 对所有API版本实施安全措施<\/li> 不只是保护当前主要版本<\/li> <\/ul> <\/li> 属性控制<\/strong>：<\/p> 用户可修改属性列入白名单<\/li> 敏感属性列入黑名单<\/li> <\/ul> <\/li> 持续监控<\/strong>：<\/p> 记录和监控API访问<\/li> 及时检测异常行为<\/li> <\/ul> <\/li> <\/ol> 7. 总结<\/h2> API测试是Web安全测试的重要组成部分，通过本指南中的方法和技巧，可以有效地发现和利用API中的安全漏洞。关键点包括：<\/p> 全面理解API的工作原理和设计风格<\/li> 系统性地测试各种HTTP方法和参数<\/li> 善于分析前端代码和文档<\/li> 掌握参数污染、批量赋值等常见漏洞利用技术<\/li> 实施多层防御措施保护API安全<\/li> <\/ol> 通过PortSwigger靶场的实战练习，可以逐步掌握API测试的核心技能，为实际工作中的API安全评估打下坚实基础。<\/p>