问当涉及到API测试时，如何测试安全措施或漏洞？

EN

这是个宽泛的问题。我建议采取一两种资源，并从那里开始探索。您可以找到一些关于API测试这里的想法，特别是当您询问安全性时，您可以关注OWASP安全性。

一般而言，与安全有关的一些想法：

• 身份验证:只有通过身份验证，才能使用哪些端点？是否有一些不正确地实现它？我们实现什么身份验证？
• 授权:是否有些资源是用户无法访问的？他们是什么?我们说的是什么用户？
• 数据泄漏:也与前两点有关；我们是否通过错误泄漏一些数据? 500和堆栈跟踪遍布响应体是常见的；这是一个问题吗？我们这样泄露什么数据？标题呢？有些技术发送具有具体名称甚至版本的自定义标头(例如X-Powered-By)。
• 质量分配:我们能不能增加比我们应该增加的更多的属性？
• 拒绝服务:我们需要限制速率或其他方法来防止这种攻击吗？
• 注射: SQL注射，命令注射
• 等。

我不是安全专家，所以我的观点很有限。我接触到的主要是以下几个方面的问题：

• 错误认证
• 错误授权
• 质量分配
• 过于冗长的错误消息

我甚至见过这样的情况:整个高度敏感的医学数据数据库被窃取，因为端点没有实现任何身份验证和授权，所以只需在URL中增加一个id就可以为您提供所有的资源。因此，首先关注这些基本知识是明智的，因为许多这样的攻击非常简单，几乎任何人都可以使用浏览器进行攻击。

这是一个非常广泛的问题，在很大程度上取决于您测试的API的设计、安全性以及您想要实现的目标。

您对api测试的经验是什么？

你有什么现有的工具可以使用吗？

是你自己的API吗？您可以访问API吗？在代码级别？

你想防止什么样的漏洞？