官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
实战分享 | 从Portswigger API Testing中入门 API 安全
payioad- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
前言
API(应用程序编程接口)使软件系统和应用程序能够通信和共享数据。API 测试很重要,因为 API 中的漏洞可能会破坏网站的机密性、完整性和可用性。
https://portswigger.net/web-security/api-testing/
账号密码 wiener peter
lab1 使用文档利用 API 端点
正常登陆后更新邮箱的包
改请求路径
/api/user 返回错误
/api/ 返回错误
/api 302跳转
交互式的api文档
lab2 查找并利用未使用的 API 端点
这一关让我们利用隐藏的 API 端点购买"轻量级 l33t 皮夹克”
在加购物篮的这个点抓包
GET请求/api/发现404
修改为option方法请求
修改为PATCH
400未授权有戏
提示我们修改content type为application/json
其他ok了缺参数
patch请求是修改 看请求路径可以发现是 我们要买的这个夹克的价格
试着传入json 把价格修改成0
刷新一下界面 直接去购物车买就好了
可试读前30%内容
¥ 9.9 全文查看
9.9元开通FVIP会员
畅读付费文章
畅读付费文章
最低0.3元/天
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
payioad
这家伙太懒了,还未填写个人描述!
已在FreeBuf发表 1 篇文章
本文为 payioad 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
payioad LV.1
这家伙太懒了,还未填写个人描述!
- 1 文章数
- 2 关注者
文章目录