API 模糊测试与 Bug Bounty 漏洞挖掘指南

针对现代 Web 应用的 API 层进行深度安全评估，通过 API 侦察、模糊测试和协议分析，发现 IDOR、注入漏洞及认证缺陷，帮助安全研究员在 Bug Bounty 项目中高效定位高危漏洞。

为什么需要这个技能

在当前的微服务架构中，API 已经成为攻击者的核心目标。许多开发者往往假设 API 端的安全性由前端控制，导致服务端缺乏足够的权限校验。

传统的 Web 扫描器难以处理复杂的 JSON 结构或 GraphQL 查询，且无法自动发现隐藏的 API 端点。通过掌握 API 模糊测试（Fuzzing）和特定的攻击向量，可以发现诸如越权访问（IDOR）、大规模数据泄露或远程代码执行（RCE）等关键漏洞。

适用场景

• 参与 Bug Bounty 项目，对目标系统的 API 进行黑盒测试。
• 对公司内部的 RESTful、SOAP 或 GraphQL 接口进行渗透测试。
• 验证 API 认证机制是否健壮，是否存在认证绕过或 Token 泄露。
• 在自动化安全管线中构建 API 漏洞扫描工作流。

核心工作流

1. API 侦察与端点枚举

首先确定 API 类型，寻找 Swagger 或 OpenAPI 文档。

# 尝试访问常见文档路径
/swagger.json
/openapi.json
/api-docs

# 使用 Kiterunner 进行端点扫描
kr scan https://target.com -w routes-large.kite

2. 权限与认证测试

测试不同版本的登录路径，并检查是否存在频率限制（Rate Limit）缺陷。

• 对比移动端 API 与 Web 端 API 的安全控制差异。
• 测试 GET POST/PUT/DELETE 的方法篡改。

3. 越权访问（IDOR）深度挖掘

IDOR 是 API 最常见的漏洞。除了直接修改 ID，还应尝试以下绕过技巧：

• 数组包装：{"id":111} {"id":[111]}
• JSON 嵌套：{"id":111} {"id":{"id":111}}
• 参数污染：/api/get_profile?user_id=<victim>&user_id=<legit>

4. 针对性注入攻击

• JSON SQLi：在 JSON 值中注入 ' OR 1=1--。
• GraphQL 攻击：利用内省查询（Introspection）获取全量 Schema，或通过嵌套查询引发 DoS 攻击。
• XXE/SSRF：在 XML 输入或 PDF 导出功能中尝试注入外部实体或内网请求。

5. 响应绕过技巧

当遇到 403/401 错误时，尝试通过添加后缀或特殊字符绕过：

• /api/v1/users/data.json
• /api/v1/users/data%20
• /api/v1/users/..;/data

下载和安装

下载 api-fuzzing-bug-bounty 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

你可能还需要

暂无推荐