发现 API 的 5 种方法

文章预览

扫码领资料 获网安教程 来 Track安全社区投稿~   千元稿费！还有保底奖励~（https://bbs.zkaq.cn） 在处理目标时，最值得测试的部分是其 API。API 是动态的，它们比应用程序的其他部分更新得更频繁，并且负责许多后端繁重的工作。在现代应用程序中，我们通常会看到 REST API，但也会看到其他形式，例如 GraphQL 甚至 SOAP。 当我们第一次接近目标时，我们需要做大量的研究，以了解其主要功能以及它们在幕后的工作方式。当然，我们 总是建议花一些时间阅读有关目标及其服务的 信息。例如，如果我们要入侵汽车租赁应用程序，那么一开始最好阅读有关该公司的服务（租赁、销售、支持、折扣等）。了解了目标的服务后，我们将寻找其应用程序中反映的功能并尝试破解它们。 为什么要使用特殊的 API 侦察方法而不仅仅是使用应用程序？ 需要强调的是，“ ………………………………