Skip to content

API安全测试

API安全风险

非法信息窃取

  • HTTP/HTTPS嗅探、会话劫持
  • 客户端证书有效性

API常规漏洞

  • XSS、CSRF、XXE
  • JSON劫持

API业务漏洞

  • 参数篡改
  • 重放攻击
  • 权限限制错误:越权访问

API访问频率限制错误

API DoS:针对API接口的DoS攻击,如:炸弹攻击、批量注册

HTTP头部设施不当

API安全测试工具

  • Postman
  • Fuzzapi
  • Astra:API自动化安全测试工具
  • Google插件:Restlet Client、APIDebug
  • Firefox插件:RESTClient
  • burpsuite