🔌 API安全测试概述

03-01 | API安全测试API安全REST测试框架

📌 一句话概括

API安全测试是当今Web安全的核心——因为前后端分离、微服务架构和移动端普及，API已成为攻击者的首选入口，远超过传统的Web页面攻击面。

💡 API安全测试全景

① 三类测试维度

认证与授权：Token有效性、作用域校验、OAuth流程安全
输入校验：参数注入、JSON Schema验证、批量赋值
业务逻辑：速率限制、IDOR、竞态条件

② OWASP API Security Top 10

排名	风险	银行场景
API1	对象级授权失效	查询他人账户流水
API2	用户认证失效	Token复用/未过期
API3	过量数据暴露	API返回多余敏感字段
API4	资源耗尽	无频率限制致压垮
API5	函数级授权失效	普通用户调管理员接口

🔍 测试实战

1. API资产发现

操作：抓取移动端/Web端流量，整理完整的API清单

工具：Burp Suite、Charles Proxy、mitmproxy

2. API安全扫描

操作：使用自动化工具扫描API端点的安全漏洞

工具：Kiterunner、JNDI、API安全资源

⚠️ 常见坑点

只测Web不测移动端API——移动端API可能使用不同的认证机制
忽略GraphQL——GraphQL单端点和查询组合带来独特的安全挑战
未测试API版本管理——/v1/和/v2/存在安全策略差异

📖 延伸阅读

← ← 内网渗透 JWT/OAuth认证测试 → →