文章目录
- 一、接口类型
- 二、Webservice类——Wsdl&ReadyAPI-SQL注入
- 三、SOAP类——Swagger&SoapUI&EXP-信息泄露
- 四、HTTP类——WebPack&PackerFuzzer-信息泄露
一、接口类型
- HTTP类接口
- PRC类接口
客户端和服务端的连接,非web上的接口,可能不走http、https协议。 - Web Service接口
REST、SOAP都是接口技术方案。- REST:传递资源
- SOAP
二、Webservice类——Wsdl&ReadyAPI-SQL注入
这种界面是一个接口界面,探针:?wsdl
工具:Soap UI、ReadyAPI、Postman。
三、SOAP类——Swagger&SoapUI&EXP-信息泄露
Swagger:java中第三方接口工具,用于调试接口。
相关目录:
1. /swagger
2. /api/swagger
3. /swagger/ui
4. /api/swagger/ui
5. /swagger-ui.html
6. /api/swagger-ui.html
7. /user/swagger-ui.html
8. /libs/swaggerui
9. /api/swaggerui
10. /swagger-resources/configuration/ui
11. /swagger-resources/configuration/ui
swagger-hack,运行swagger-hack2.0.py,主要关注状态码为200的请求。
四、HTTP类——WebPack&PackerFuzzer-信息泄露
webpack:一个用于javascript应用程序的静态模块打包工具。有些网站数据传输使用js进行数据传输,也就是ajax异步请求。
识别:
- wappalyzer进行webpack的识别.
- network加载资源:
webpack... or main-xxxx.js or app-xxxx.js。
- 工具:Packer-Fuzzer
其实就是对js文件中的敏感文件进行分析。
