第66天 API安全-接口安全&阿里云KEY%postman&DVWS&XEE&鉴权&泄露

知识点

1.HTTP类接口-测评
2.RPC类接口-测评
3.Web Service类-测评
参考链接：https://www.jianshu.com/p/e48db27d7c70

内容点：

SOAP(Simple Object Access Protocol)简单对象访问协议是交换数据的一种协议规范，
是一种轻量的、简单的、基于XML（标准通用标记语言下的一个子集）的协议，它被设计
成在WEB上交换结构化的和固化的信息，SOAP不是Web Servicet的专有协议，
SOAP使用HTTP来发送XML格式的数据，可以简单理解为：SOAP=HTTP+XML

REST(Representational State Transfer)即表述性状态传递，在三种主流的Web服务实
现方案中，因为REST模式的Wb服务与复杂的SOAP和XML-RPC对比来讲明显的更加简
洁，越来越多的Web服务开始采用REST风格设计和实现。例如，Amazon.com提供接近
REST风格的Web服务进行图书查找；雅虎提供的Web服务也是REST风格的。

WSDL(Web Services Description Language)即网络服务描述语言，用于描述Web服务
的公共接口。这是一个基于XML的关于如何与Wb服务通讯和使用的服务描述；也就是描
述与目录中列出的Wb服务进行交互时需要绑定的协议和信息格式。通常采用抽象语言描
述该服务支持的操作和信息，使用的时候再将实际的网络协议和信息格式绑定给该服务。

接口数据包：

Method:请求方法
攻击方式：OPTIONS,PUT,MOVE,DELETE
效果：上传恶意文件，修改页面等
URL:唯一资源定位符
攻击方式：猜测，遍历，跳转
效果：未授权访问等
Params:请求参数
攻击方式：构造参数，修改参数，遍历，重发
效果：爆破，越权，未授权访问，突破业务逻辑等
Authorization:认证方式
攻击方式：身份伪造，身份篡改
效果：越权，未授权访问等
Headers:清求消息头
攻击方式：拦截数据包，改Hosts,
改Referer,改Content-Type等
效果：绕过身份认证，绕过Referer验证，绕过类型验证，DDOS等
Body:消息体
攻击方式：SQL注入，XML注入，反序列化等
效果：提权，突破业务逻辑，未授权访问等

安全问题：

XSS跨站，信息泄露，暴力破解，文件上传，未授权访问，JWT授权认证，接口滥用等

演示案例：

工具使用-Postman自动化汉测试
安全问题-Dvws泄世漏&鉴权&XE
安全问题-阿里KEY信息泄漏利用
应用方向-违法APP打包接口分析

工具使用-Postman自动化测试

https://www.postman.com/downloads/

安全问题-Dvws世是&鉴权&OXE

https://github.com/snoopysecurity/dvws-node
1、注册时抓包可尝试修改admin为ture，看看能否绕过jwt验证
登录返回的数据包为admin，false

修改登录数据包为admin=true

2、通过数据包中body的格式判断提交请求的格式为xml格式，尝试是否存在XXE漏洞，利用XXE可以实现读取文件、若误回显可以尝试外部实体注入或者使用dnslog检测漏洞存在
复现：在用户数据搜索出抓包，看到格式为xml格式，尝试使用xxe漏洞读取到文件

安全问题-阿里云KEY信息池漏利用

https://yun.cloudbility.com/
https://github.com/mrknow001/aliyun-accesskey-Tools
接口配置文件泄漏导致云资源生机受控
目前为止，云服务器已经占据了服务器的大部分市场，由于云服务器易管理，操作性强，安全程度高。很多大型厂商都选择将资产部署在云服务上，但安全的同时由于运维人员的疏忽也会导致一些非预期的突破口。当云产品Accesskey在调用过程中，出现泄漏会导致对象控制资源全部被控，影响严重！
1、常规获取Accesskey方式
-通过源码泄漏配置文件
-通过应用程序报错读取
-通过JS文件引用中获取
如图：页面报错

如图：源码配置

应用方向违法APP打包接口分析

完整的分析流程：burp抓包找到真实访问的域名地址—通过信息收集到含有使用webpack组件的网站
–使用/Packer-Fuzzer工具扫描