API测试专题教学文档<\/h1>

1. API测试概述<\/h2>

1.1 API基本概念<\/h3>

定义<\/strong>：API(Application Programming Interfaces)是应用程序编程接口，使软件系统和应用程序能够通信和共享数据<\/li>
重要性<\/strong>：API中的漏洞可能破坏网站的机密性、完整性和可用性<\/li>

范围<\/strong>：所有动态网站都由API组成，因此传统Web漏洞(如SQL注入)也可归类为API测试<\/li> <\/ul>
1.2 API测试重点<\/h3>

RESTful API<\/li>
JSON API<\/li> <\/ul>
2. API信息收集<\/h2>
2.1 确定API端点<\/h3>

示例：GET \/api\/books HTTP\/1.1<\/code><\/li>
可能存在的其他端点：\/api\/books\/mystery<\/code>等<\/li> <\/ul> 2.2 交互方式分析<\/h3> 输入数据<\/strong>：<\/p> 必选参数<\/li> 可选参数<\/li> <\/ul> <\/li> 请求类型<\/strong>：<\/p> 支持的HTTP方法(GET, POST, PUT, DELETE等)<\/li> 接受的媒体格式(JSON, XML等)<\/li> <\/ul> <\/li> 安全机制<\/strong>：<\/p> 速率限制<\/li> 身份验证机制<\/li> <\/ul> <\/li> <\/ol> 3. API文档利用<\/h2> 3.1 API文档类型<\/h3> 人类可读文档<\/strong>：<\/p> 详细解释<\/li> 使用示例<\/li> 应用场景<\/li> <\/ul> <\/li> 机器可读文档<\/strong>：<\/p> JSON或XML格式<\/li> 用于自动化集成和验证<\/li> <\/ul> <\/li> <\/ul> 3.2 发现API文档的常见路径<\/h3> \/api<\/code><\/li> \/swagger\/index.html<\/code><\/li> \/openapi.json<\/code><\/li> \/api\/swagger\/v1<\/code><\/li> \/api\/swagger<\/code><\/li> <\/ul> 4. 实战案例解析<\/h2> 4.1 靶场示例：利用API端点删除用户<\/h3> 目标<\/strong>：找到删除用户的API端点并删除carlos<\/p> 步骤<\/strong>：<\/p> 登录测试用户wiener<\/li> 修改邮箱触发API请求： PATCH \/api\/user\/wiener {"email":"wienerr@normal-user.net"} <\/code><\/pre> <\/li> 分析API端点规则<\/li> 尝试删除wiener用户(会报错)<\/li> 继续测试API端点结构<\/li> 最终发现三个API端点信息<\/li> 构造删除请求： DELETE \/api\/user\/carlos <\/code><\/pre> <\/li> <\/ol> 5. 最佳实践建议<\/h2> 全面测试<\/strong>：对所有发现的API端点进行测试<\/li> 方法覆盖<\/strong>：尝试所有HTTP方法，即使文档中未提及<\/li> 参数测试<\/strong>：测试所有参数，包括可选参数<\/li> 错误处理<\/strong>：通过错误信息获取更多API信息<\/li> 文档利用<\/strong>：充分利用可获得的API文档<\/li> <\/ol> 6. 常见API漏洞类型<\/h2> 认证和授权缺陷<\/li> 注入漏洞(SQL, NoSQL, 命令注入等)<\/li> 敏感数据暴露<\/li> 速率限制缺失<\/li> 错误配置<\/li> 业务逻辑缺陷<\/li> <\/ol> 7. 测试工具推荐<\/h2> Burp Suite<\/li> Postman<\/li> OWASP ZAP<\/li> SoapUI<\/li> cURL<\/li> <\/ol>