Web API接口安全瞭解

2017版OWASP top 10 將API安全歸入其中，足以說明API被普遍使用且安全問題嚴重。本身嘗試整理一下，但限於本人搬磚經驗還不足、水平有限，本文只能算是拋磚引玉，但願大夥不吝賜教。

瞭解Web Service（API）

Web Service是一種跨編程語言和跨操做系統平臺的遠程調用技術。目前被普遍運用於移動端APP、物聯網IoT、WEB應用等場景。

主流Web Service實現方式

SOAP/XML

簡單對象訪問協議(SOAP)接口，經過HTTP進行消息傳輸。它是基於xml語言開發，使用Web服務描述語言(WSDL)來進行接口描述。是一種很成熟的Web Service實現方式，總體上有被REST取代的趨勢。

REST/JSON

表現層狀態轉移(REST),本質上講的是一種ROA（Resource Oriented Architecture）架構風格。符合這種架構風格的API接口，咱們稱之爲RESTful API。
PS: REST風格的接口既可使用JSON，也可使用XML，但因爲JSON更加輕，故而基本不用XML。

XML示例:

1 2 3 4 5 6 7 8 9 10 11

<?xml version="1.0" encoding="UTF-8" ?> <person> <name>Jason</name> <age>99</age> <sex>male</sex> <contact> <mobile>13888888888</mobile> <email>bingo@tass.com.cn</email> <wechat>bingo</wechat> </contact> </person>

 

JSON示例:

1 2 3 4 5 6 7 8 9 10 11 12

{ "person": { "name": "Jason", "age": "99", "sex": "male", "contact": { "mobile": "13888888888", "email": "bingo@tass.com.cn", "wechat": "bingo" } } }

 

API安全

API的安全要素

• 認證和鑑權 - 認證用戶身份 & 肯定用戶權限

  一般狀況下，webAPI是基於HTTP協議的，也是無狀態傳輸的。故而認證任務就須要咱們本身實現，因此原則上每一次API請求都須要帶上身份認證信息，一般使用的是API key。

• 加密和簽名 - 保證信息的保密性和完整性

  一般使用SSL/TLS來加密通訊消息，由API客戶端發送和接收。簽名用於確保API請求和響應在傳輸過程當中未被篡改。

• 漏洞 - 注入攻擊 & 敏感數據泄露 & 越權訪問

攻擊面檢測

• 儘量多的瞭解API端點、消息、參數、行爲。
• 發現API中可能存在問題的元數據。
• 記錄流量進一步學習API
• 爆破 - 暴力破解路徑或資源

攻擊方式

1.模糊測試

使用自動化工具並行的將大量的隨機內容（各類可能的值或可能的攻擊向量）做爲輸入參數進行長時間的嘗試，並自動驗證響應信息，確認是否獲取到意外收穫（系統或代碼相關的信息）。

2.注入攻擊

使用SQL,XML,Xpath,JSON,JavaScript等的常見攻擊向量嘗試進行代碼注入，並驗證意外響應。

3.無效/越界內容

嘗試各類無效或者超範圍的內容，並驗證響應信息。

4.惡意內容

在上傳功能點嘗試上傳可執行文件或腳本等，使服務器嘗試進行解析。

5.XSS

上傳常見攻擊向量進行XSS（反射型，存儲型等）測試。

6.CSRF

測試API是否含有token，token是否能複用，是否可被僞造。

7.不安全的直接對象引用

嘗試對順序化的id號進行越權訪問，嘗試訪問無權限的方法或操做。

8.其它考慮

會話認證（token是否正確使用）
安全配置（前述攻擊照成系統/應用等信息泄露）

攻擊演示

1. DVWS | WSDL Enumeration

前端頁面

源碼中暴露wsdl文件

wsdl文件中能夠查看到四種方法

使用READY!API（SOAPUI升級版）能夠直觀的看到4種方法並進行接口測試

嘗試使用check_user_information方法，嘗試填入username（實際測試中可能須要結合爆破方式），接口返回了相關數據，從而致使數據泄露。

2. DVWS | XML External Entity Processing

提交正常請求:

1	<name>Mr.Bingo</name>

 

提交payload:

1	<?xml version="1.0"?> <!DOCTYPE bingo [ <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><name>&xxe;</name>

 

額外測試：

3. DVWS | Server Side Request Forgery

正常數據請求

篡改請求URL

4. DVWS | REST API SQL Injection

正常請求資源：

SQL注入：

5. bWAPP | SQL Injection - Blind (WS/SOAP)

因爲在前端屏蔽了後端所採用的API接口功能，故而貼出部分源碼以供參考

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

<?php if(isset($_REQUEST["title"])) { // Includes the NuSOAP library require_once("soap/nusoap.php");   // Creates an instance of the soap_client class $client = new nusoap_client("http://localhost/bWAPP/ws_soap.php");   // Calls the SOAP function $tickets_stock = $client->call("get_tickets_stock", array("title" => sqli($_REQUEST["title"])));   echo "We have <b>" . $tickets_stock . "</b> movie tickets available in our stock."; } ?>

 

當前我的對API接口測試的理解尚比較粗淺。涉及到fuzz、加解密及其餘複雜的場景尚且沒法拿出好的案例及測試平臺。後續有機會再行補充，另外，但願有貨的大佬們能多多分享。

參考資料

測試工具

• Ready!API ( SoapUI )
• Burpsuite

• FuzzAPI

  測試平臺

• DVWS https://github.com/snoopythesecuritydog/dvws

• bWAPP https://sourceforge.net/projects/bwapp/

• Hackazon https://github.com/rapid7/hackazon

  Web Version http://hackazon.webscantest.com

• Mutillidae https://sourceforge.net/projects/mutillidae/

• Juice-shop https://github.com/bkimminich/juice-shop

參考資料

• OWASP Top 10 - 2017 RC1

• REST API 安全設計指南 http://www.freebuf.com/articles/web/82108.html

• REST Security Cheat Sheet https://www.owasp.org/index.php/REST_Security_Cheat_Sheet