【技术实现步骤摘要】
基于代码注入的API爆破方法、装置、设备以及存储介质
[0001]本公开涉及计算机
,尤其涉及一种基于代码注入的
API
爆破方法
、
装置
、
设备以及存储介质
。
技术介绍
[0002]随着企业和网民的安全意识的提高,
Web
安全已经成为了一个重点关注的方向
。
[0003]渗透测试人员需要利用各种渗透工具对目标网站进行渗透测试时,往往需要耗费大量的时间进行网站
API
的识别,同时渗透测试人员需要利用多个类型的渗透工具对
API
进行爆破,并反确认是否存在漏报误报现象
。
[0004]因此,目前的
API
爆破方案需要人工判断识别网站的
API
,并且进行人工
API
爆破,无法大规模进行,且耗时也较长,效率也较低
。
技术实现思路
[0005]本公开提供了一种基于代码注入的
API
爆破方法
、
装置
、
设备以及存储介质
。
[0006]根据本公开的第一方面,提供了一种基于代码注入的
API
爆破方法,该方法包括:基于预先注入至目标网站的网页代码中的
API
获取代码,对目标网站进行爬取,将爬取到的
API
保存至
API
列表,并标记为待爆破
API
...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
一种基于代码注入的
API
爆破方法,其特征在于,所述方法包括:基于预先注入至目标网站的网页代码中的
API
获取代码,对目标网站进行爬取,将爬取到的
API
保存至
API
列表,并标记为待爆破
API
;基于所述
API
列表中的每条
API
随机生成一个命令注入的目标域名和命令注入对应的
cookie
值;对所述
API
列表中待爆破
API
的
request header
进行解析,确定待爆破
API
的
http
请求类型,基于所述待爆破
API
的
http
请求类型和目标域名,生成参数拼接后的待爆破
API
请求,并发送给目标网站对应的服务器;若基于待爆破
API
的
cookie
值,获取的服务器返回对应的执行日志不为空,则将所述待爆破
API
标记为已爆破
。2.
根据权利要求1所述的方法,其特征在于,所述基于预先注入至目标网站的网页代码中的
API
获取代码,对目标网站进行爬取,将爬取到的
API
保存至
API
列表,并标记为待爆破
API
,包括:基于所述
API
获取代码,对目标网站进行爬取,确定具有点击事件的目标页面元素;对所述目标页面元素进行遍历点击,保存对应的
API
至
API
列表;不断增加爬取深度,直至爬取深度满足预设停止条件,将爬取到的
API
保存至
API
列表,并标记为待爆破
API。3.
根据权利要求1所述的方法,其特征在于,所述基于所述
API
列表中的每条
API
随机生成一个命令注入的目标域名和命令注入对应的
cookie
值,包括:对所述
API
列表中的静态资源进行过滤;基于过滤静态资源后的
API
列表中的每条
API
随机生成一个命令注入的目标域名和命令注入对应的
cookie
值
。4.
根据权利要求3所述的方法,其特征在于,所述基于过滤静态资源后的
API
列表中的每条
API
随机生成一个命令注入的目标域名和命令注入对应的
cookie
值,包括:基于过滤静态资源后的
API
列表中的
API
在内存中对应的哈希值和
dict
属性,对所述
API
列表中的
API
进行去重;基于去重后的
API
列表中的每条
API
随机生成一个命令注入的目标域名和命令注入对应的
cookie
值
。5.
根据权利要求1所述的方法,其特征在于,所述基于所述待爆破
API
的
http
请求类型和目标域名,生成参数拼接后的待爆破
API
技术研发人员:马维士,吴璇,
申请(专利权)人:北京华云安信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。