当前位置：首页 > news >正文

API攻防-接口安全SOAPOpenAPIRESTful分类特征导入项目联动检测

news 2025/7/8 3:58:15

文章目录

概述
- 什么是接口？
1、API分类特征
- SOAP - WSDL
- - Web services 三种基本元素：
- OpenApi - Swagger UI
- Springboot Actuator
2、API检测流程
- Method：请求方法
- URL：唯一资源定位符
- Params：请求参数
- Authorization：认证方式
- Headers：请求消息头
3、API检测项目
- Ready API
- Postman 联动Xray
- APIKIT Burp插件
- 补一个案例
- vapi靶场搭建
- 相关项目链接
参考

概述

什么是接口？

接口是后端设计的一套供给第三方使用的方法
举个例子，fofa提供了第三方api接口来进行调用，使用查询语法获取资产目标资产信息
在这里插入图片描述输入相关参数进行调用
API安全就是围绕着这一个接口进行的，可能存在的漏洞包括：SQL注入、身份验证、信息泄漏、XSS跨站等

1、API分类特征

SOAP - WSDL

Web Service是基于网络的、分布式的模块化组件，通过 Web 进行发布、查找和使用**。**是应用程序组件使用开放协议进行通信，是独立的（self-contained）并可自我描述，可通过使用UDDI来发现，可被其他应用程序使用。
交互过程
Web Services 都是放在Web服务器（如IIS）的。
WebService服务器端首先要通过一个WSDL文件来说明自己有什么服务可以对外调用，并注册到UDDI服务器，以便被人查找。
客户根据 WSDL 描述文档，使用XML封装一个 SOAP 请求消息，嵌入在一个HTTP POST请求中，发送到 Web 服务器来。
Web 服务器再把这些请求转发给 Web Services 请求处理器。
由请求处理器解析收到的 SOAP 请求，调用 Web Services，然后再生成相应的 SOAP 应答。
Web 服务器得到 SOAP 应答后，会再通过 HTTP应答的方式把信息送回到客户端。

Web services 三种基本元素：

uudl用于提供发布和查询webservice方法
wsdl是webservice服务描述语言，用于web服务说明，它是一个xml文档，用于说明一组soap消息如何访问接口
soap是简单对象访问协议，用于分布式环境的基于信息交换的同行协议，描述传递信息的格式和规范，它可以用于连接web服务和客户端之间的接口，是一个可以在不同操作系统上运行的不同语言编写的程序之间的传输通信协议，格式为xml，soap消息
在这里插入图片描述