API Testing 技术详解<\/h1>

1. API 测试概述<\/h2>

API（应用程序接口）是软件系统和应用程序之间通信和共享数据的桥梁。API 测试至关重要，因为 API 中的漏洞可能会破坏系统的：<\/p>

保密性<\/li>
完整性<\/li>

可用性<\/li> <\/ul>

所有动态网站都由 API 组成，因此像 SQL 注入这样的经典网络漏洞也可归类为 API 测试范畴。<\/p>

2. API 测试重点<\/h2>

本文重点介绍以下内容：<\/p>

测试网站前端未完全使用的 API<\/li>
RESTful 和 JSON API 测试<\/li>

服务器端参数污染漏洞测试<\/li> <\/ul>

3. API 侦察<\/h2>

3.1 识别 API 端点<\/h3>

API 端点是 API 接收请求的位置，例如：<\/p>

GET \/api\/books HTTP\/1.1
Host: example.com
<\/code><\/pre>
此请求的 API 端点是 \/api\/books<\/code><\/p>
3.2 端点交互信息<\/h3>
与 API 交互需要了解：<\/p>

输入数据（必选和可选参数）<\/li>
支持的 HTTP 方法和媒体格式<\/li>
速率限制和验证机制<\/li>
<\/ol>
4. API 文档分析<\/h2>
4.1 文档类型<\/h3>

人工可读文档<\/strong>：供开发人员理解 API 使用方式<\/li>
机器可读文档<\/strong>：JSON 或 XML 格式，用于自动化任务<\/li>
<\/ul>
4.2 发现 API 文档<\/h3>
查找路径示例：<\/p>

\/api<\/code><\/li>
\/swagger\/index.html<\/code><\/li>
\/openapi.json<\/code><\/li>
<\/ul>
发现端点后应调查其基础路径，例如：<\/p>

\/api\/swagger\/v1\/users\/123<\/code> → 调查 \/api\/swagger\/v1<\/code>、\/api\/swagger<\/code>、\/api<\/code><\/li>
<\/ul>
4.3 机器可读文档利用<\/h3>
工具推荐：<\/p>

Burp Scanner（审核 OpenAPI 文档）<\/li>
OpenAPI 解析器 BApp<\/li>
Postman 或 SoapUI（测试记录端点）<\/li>
<\/ul>
5. 端点识别技术<\/h2>
5.1 应用程序浏览<\/h3>
方法：<\/p>

使用 Burp Scanner 抓取应用程序<\/li>
手动调查有趣攻击面<\/li>
查找 URL 中的 \/api\/<\/code> 模式<\/li>
检查 JavaScript 文件中的 API 引用<\/li>
<\/ol>
工具推荐：<\/p>

JS Link Finder - PortSwigger<\/li>
<\/ul>
5.2 端点交互<\/h3>
使用工具：<\/p>

Burp Repeater<\/li>
Burp Intruder<\/li>
<\/ul>
观察 API 行为，研究其对以下变化的响应：<\/p>

HTTP 方法<\/li>
媒体类型<\/li>
错误信息<\/li>
<\/ul>
6. HTTP 方法测试<\/h2>
常见 HTTP 方法：<\/p>

GET<\/strong>：读取数据<\/li>
PATCH<\/strong>：部分更改资源<\/li>
OPTIONS<\/strong>：检索可用方法信息<\/li>
<\/ul>
测试方法：<\/p>

使用 Burp Intruder 内置的 HTTP verbs 列表自动测试<\/li>
注意：应以低优先级对象为目标，避免意外后果<\/li>
<\/ul>
7. 内容类型测试<\/h2>
测试不同内容类型可以：<\/p>

触发错误并获取有用信息<\/li>
绕过有缺陷的防御<\/li>
利用处理逻辑差异<\/li>
<\/ol>
测试工具：<\/p>

修改 Content-Type<\/code> 标头<\/li>
使用 Content type converter BApp（XML 和 JSON 转换）<\/li>
<\/ul>
8. 实战靶场<\/h2>
8.1 利用文档开发 API 端点<\/h3>
靶场地址：https:\/\/portswigger.net\/web-security\/api-testing\/lab-exploiting-api-endpoint-using-documentation<\/p>
8.2 查找和利用未使用的 API 端点<\/h3>
靶场地址：https:\/\/portswigger.net\/web-security\/api-testing\/lab-exploiting-unused-api-endpoint<\/p>
9. 隐藏端点发现<\/h2>
使用 Burp Intruder 发现隐藏端点：<\/p>

识别初始 API 端点<\/li>
使用 Intruder 进行模糊测试<\/li>
分析响应以发现新端点<\/li>
<\/ol>
10. 安全注意事项<\/h2>

始终在授权范围内测试<\/li>
避免对生产环境造成破坏<\/li>
注意速率限制<\/li>
记录测试过程和发现<\/li>
<\/ol>
11. 工具总结<\/h2>
推荐工具列表：<\/p>

Burp Suite（Scanner、Repeater、Intruder）<\/li>
OpenAPI 解析器 BApp<\/li>
JS Link Finder<\/li>
Content type converter BApp<\/li>
Postman\/SoapUI<\/li>
<\/ol>
通过系统性地应用这些技术和方法，可以全面评估 API 的安全性，发现潜在漏洞并提高整体系统安全性。<\/p>

API Testing 技术详解<\/h1>

3. API 侦察<\/h2>

4. API 文档分析<\/h2>

5. 端点识别技术<\/h2>

8. 实战靶场<\/h2>

8.1 利用文档开发 API 端点<\/h3> 靶场地址：https:\/\/portswigger.net\/web-security\/api-testing\/lab-exploiting-api-endpoint-using-documentation<\/p>

8.2 查找和利用未使用的 API 端点<\/h3> 靶场地址：https:\/\/portswigger.net\/web-security\/api-testing\/lab-exploiting-unused-api-endpoint<\/p>

8.1 利用文档开发 API 端点<\/h3>
靶场地址：https:\/\/portswigger.net\/web-security\/api-testing\/lab-exploiting-api-endpoint-using-documentation<\/p>

8.2 查找和利用未使用的 API 端点<\/h3>
靶场地址：https:\/\/portswigger.net\/web-security\/api-testing\/lab-exploiting-unused-api-endpoint<\/p>