Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >使用 Burp 枚举 REST API

使用 Burp 枚举 REST API

原创
作者头像
Khan安全团队
发布于 2022-01-14 01:46:06
发布于 2022-01-14 01:46:06
1.3K0
举报
文章被收录于专栏:Khan安全团队Khan安全团队

Burp 可以测试任何 REST API 端点,前提是您可以为该端点使用普通客户端来生成正常流量。流程是通过 Burp 代理客户端的流量,然后用正常的方式进行测试。

除非 API 使用 Swagger 文件,否则不使用普通客户端就无法完全自动化,因为 REST API 端点没有标准格式来定义可以向它们发出的请求(就像 SOAP 那样通过 WSDL 文件的端点)。因此,没有办法绕过使用真实客户端生成示例流量的需要。

在某些情况下,您可以使用浏览器访问 API,但这并不总是可行的。在本教程中,我们将演示如何使用移动设备通过 Burp Suite 代理 API 流量。

您可以使用此方法映射整个 API,或定位和测试特定操作。

在此示例中,我们将演示映射过程并在 Flickr 上找到“收藏”操作:

flickr.favorites.add

确保您的移动设备已正确配置 Burp Suite。

下一步是通过您的移动设备访问该应用程序,并确保流量通过 Burp 进行代理。

使用通过 Burp Proxy 工作的移动应用程序,通过以下链接手动映射应用程序、提交表单并逐步完成多步骤流程。此过程将使用请求的所有内容填充代理历史记录和目标站点地图。

从这里您可以向 Burp 的各种工具发送请求以进行手动或自动测试。

要查找特定操作,您可以使用 Burp 菜单中的搜索功能。

或者,您可以抓取特定操作并监控请求和响应过程。

在此屏幕截图中,我们使用 HTTP 历史控制台隔离并突出显示了登录过程。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
常用的渗透的测试工具-Burp Suite
3.2.1 Burp Suite的简介 Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮我们高效地完成对Web应用程序的渗透测试和攻击。 Burp Suite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。Burp Suite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化流程,然后才会开始工作。
Baige
2022/03/22
4770
常用的渗透的测试工具-Burp Suite
Burp Suite使用教程(1)
本套教程来自YanXia,转载请注明作者信息,博客地址http://www.535yx.cn,感谢
YanXia
2023/04/07
7110
Burp Suite使用教程(1)
一文学会 Web Service漏洞挖掘!
Web Service是一个平台独立的,低耦合的,自包含的、基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。
黑白天安全
2020/07/23
11.5K0
一文学会 Web Service漏洞挖掘!
安全测试:BurpSuite 学习使用教程
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试。
全栈程序员站长
2022/07/01
1.4K0
安全测试:BurpSuite 学习使用教程
API 接口渗透测试
远程过程调用(英语:Remote Procedure Call,缩写为 RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程,那么远程过程调用亦可称作远程调用或远程方法调用,例:Java RMI。
HACK学习
2019/08/06
2.9K0
API 接口渗透测试
带你玩转系列之Burpsuite
Burp Suite是无人不晓的web渗透测试必备的工具。从应用程序表面的映射和内部分析,到探测和利用漏洞等过程,所有插件支持整体测试程序而无缝地在一起工作。
Khan安全团队
2020/03/19
1.8K0
burpsuite系列
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。
小黑同学
2020/08/17
1.6K0
BurpSuite系列(三)----Spider模块(蜘蛛爬行)
Burp Spider 是一个映射 web 应用程序的工具。它使用多种智能技术对一个应用程序的内容和功能进行全面的清查。
HACK学习
2019/08/07
1.9K0
BurpSuite系列(三)----Spider模块(蜘蛛爬行)
Burp Collaborator
Burp Collaborator 是 Burp Suite 用来帮助发现多种漏洞的网络服务。例如:
Khan安全团队
2022/01/04
1.7K0
[ffffffff0x] 安全工具系列 :Burp Suite
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只要我们熟悉Burp Suite的使用,也能使得渗透测试工作变得轻松和高效。
r0fus0d
2020/12/21
1.4K0
[ffffffff0x] 安全工具系列 :Burp Suite
Burpsuite指南-小姨子都学会了
Burp的原理是,通过浏览器的代理,将浏览器的所有数据代理到brup中。再通过Burp对数据抓包,修改,放包最终达到所要的目的。
逍遥子大表哥
2021/12/19
9310
Burpsuite指南-小姨子都学会了
API 架构风格抉择:SOAP、REST、GraphQL 和 RPC 的特性、优势与局限
两个独立的应用程序需要一个中介来相互通信。因此,开发人员通常会构建桥梁——应用程序编程接口 (API) ——以允许一个系统访问另一个系统的信息或功能。
架构精进之路
2025/04/16
2070
API 架构风格抉择:SOAP、REST、GraphQL 和 RPC 的特性、优势与局限
最新Burp Suite入门技术
Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和安全检测。
Ms08067安全实验室
2023/08/18
4370
最新Burp Suite入门技术
Burp Suite抓包讲解「建议收藏」
Burp Suite是一款集成化的渗透测试工具,包含了许多功能,可以帮助我们高效地完成对web应用程序的渗透测试和攻击。 由Java语言编写,执行程序是Java文件类型的jar文件,免费版可在官网下载。
全栈程序员站长
2022/06/28
1.3K0
Burp Suite抓包讲解「建议收藏」
Burp Suite安全测试神器安装以及配置
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。
用户7466307
2020/06/16
1K0
什么是REST API
原文链接:https://www.sitepoint.com/rest-api/[1]
chuckQu
2022/11/28
4.6K0
什么是REST API
渗透测试工具Burp Suite详解[通俗易懂]
Burp的安装一共分为三步: 1、java的安装 2、环境变量的配置 3、运行burp
全栈程序员站长
2022/09/22
5.6K0
渗透测试工具Burp Suite详解[通俗易懂]
gRPC vs REST:两种API架构风格的对比
作者 | Mariana Berga、André Santos 译者 | 王强 策划 | 万佳 想知道未来是不是 gRPC 的天下?本文会具体介绍两种 API 架构风格:REST 和 gRPC,并讨论它们之间的区别。不过,首先,我们会解释什么是 API,以及为什么它对微服务基础设施而言至关重要。之后,我们会介绍 gRPC 的基础——RPC,并探讨 gRPC 和 REST API 之间的重要差异。根据它们的对比结果,我们最后会分析什么时候应该使用哪种架构类型。 1API 是什么 API,即应用程序编程接口。这
深度学习与Python
2023/04/01
1.5K0
gRPC vs REST:两种API架构风格的对比
渗透测试神器BurpSuite模块说明及使用教程
BurpSuite简介: Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。
天乐404
2023/11/16
3.2K0
渗透测试神器BurpSuite模块说明及使用教程
API架构风格对比:SOAP vs REST vs GraphQL vs RPC
最近一段时间关于GraphQL的讨论很多,一些项目中也相继用到了这种风格,但使用是否合理,是否存在杀鸡用牛刀这样的问题,还有待商榷。
charlieroro
2021/07/08
3.2K0
相关推荐
常用的渗透的测试工具-Burp Suite
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档