api渗透测试
总体分为两个大块,信息收集和渗透测试两部分,大概整理了400个测试点 #转载大佬的文章
信息收集
一.识别架构
1.架构识别
2.文档
二.检查文档接口情况
1.自动化测试
2.人工测试
三.搜索API接口
1.流量分析
2.安卓应用
3.历史镜像记录
4.路径
5.Key/token识别
6.dork
7.更多搜索
8.api目录
四.枚举
1.端口
2.工具
五.支持的content type类型
渗透测试部分
一.权限测试
1.端口id测试
2.测试回包
3.工具
二.身份验证测试
1.测试
2.JWT
3.Oauth
三.过度的数据公开
四.压力测试
五.测试功能函数
六.大量赋值
1.枚举对象属性
2.制造request的payloads
七.安全配置错误
八.注入
九.不当资产管理
信息收集
一.识别架构
1.架构识别
2.文档
二.检查文档接口情况
-
自动化测试
-
人工测试
三.搜索API接口
-
流量分析
-
安卓应用
-
历史镜像记录
-
路径
-
Key/token识别
-
dork
-
更多搜索
-
api目录
四.枚举
-
端口
-
工具
五.支持的content type类型
渗透测试部分
一.权限测试
1.端口id测试
2.测试回包
3.工具
二.身份验证测试
-
测试
-
JWT
-
Oauth
三.过度的数据公开
四.压力测试
五.测试功能函数
六.大量赋值
1.枚举对象属性
2.制造request的payloads
七.安全配置错误
八.注入
九.不当资产管理
