保姆级教程教你玩转API渗透测试

发布于12月5日12月5日

**马云惹不起马云简介**

鼎龙，一则新闻打破了四叔短暂的平静 1705653811_65aa363312e0e3d91fa1e.png!small

发生什么事了？ 4202年前的事了，四叔不允许任何不懂API接口的人进行渗透测试。

**马云惹不起马云演出时间**

事实上，各大厂商对于此类API测试都有相应的自动化工具。以绿盟科技为例，我看到绿盟科技的朋友使用的EZ（类似Xray的工具）直接集成了API的扫描测试，通过调用相应的参数就可以堵住漏洞。 1705653821_65aa363db4ad0006017b8.png!small

四叔也有幸使用过一次，效果相当不错，基本能检测到常规漏洞。 1705653831_65aa3647b764d87af26fe.png!small

不过，此类工具一般是厂商内部共享的，或者需要一定的门槛才能使用，对其他白帽子来说并不“友好”。有没有办法可以不受各大厂商的限制进行测试呢？这时候就需要打开Github这个国际大型交友平台。

四叔平时喜欢使用工具swagger-exp，项目地址

````

https://github.com/lijiejie/swagger-exp

````

使用swagger-exp结合xray也可以实现绿盟科技EZ工具API的扫描效果。我们来看看如何使用吧！

首先我们看一下swagger-exp的README文档是如何介绍的。看起来用法很简单。只需要在py文件后面直接跟上api文档的地址即可。 1705653797_65aa3625ea72ecd7a0f33.png!small

下载该工具并安装依赖项后即可使用。我们可以将swagger-exp数据包代理到burp，这样我们就可以看到发送的所有请求包信息，然后在burp上设置代理，将流量代理到xray，让xray自动为我们检测漏洞信息。我们还可以检查burp上的接口流量是否存在越权访问或者信息泄露的情况。

首先设置cmd的代理，在swagger-exp目录的cmd中输入两行代码，将当前cmd的所有流量转发给burp

````

设置http_proxy=http://127.0.0.1:8080设置https_proxy=http://127.0.0.1:8080

`` 1705653778_65aa3612f2075626f8427.png!small

然后在burp 1705653769_65aa360904a4d7ca280a1.png!small 中设置xray代理信息

开祖X光 1705653755_65aa35fb62e5dcb9a4e5e.png!small

现在您可以运行swagger-exp 并等待xray 报告 1705653743_65aa35ef99f2a51e9ecc4.png!small

还有一种方式是通过postman自动发送包进行测试。思路是一样的，代理postman到burp，然后在burp上设置代理到xray。

首先从官网下载一个postman，导入我们需要测试的API文档地址 1705653727_65aa35df0d98d34ac7b35.png!small

导入地址后，设置接口的服务器地址 1705653711_65aa35cf3b63c271c43c8.png!small

设置代理指向burp，点击齿轮，选择setting，设置代理 1705653689_65aa35b9aee652f10b597.png!small

现在您可以执行自动化批量测试。单击导入的接口文件夹，然后单击运行按钮 1705653677_65aa35ad481ca45d42604.png!small

最后点击运行， 1705653601_65aa356171b137a3ae371.png!small

转载自freebuf：[https://www.freebuf.com/articles/web/390147.html](https://www.freebuf.com/articles/web/390147.html) 作者：关注司书老安全

游客您好，欢迎来到黑客世界论坛！您可以在这里进行注册。