BP靶场之api

• GET- 从资源检索数据。

• PATCH- 对资源应用部分更改。

• OPTIONS- 检索有关资源上可以使用的请求方法的类型的信息。

  API 端点可能支持不同的 HTTP 方法。因此,在研究 API 端点时测试所有潜在方法非常重要。这可能使您能够识别额外的端点功能,打开更多攻击面。 例如,端点/api/tasks可以支持以下方法: • GET /api/tasks- 检索任务列表。 • POST /api/tasks创建一个新任务。 • DELETE /api/tasks/1删除一个任务。 您可以使用 Burp Intruder 中内置的 HTTP 动词列表自动循环通过一系列方法。

​ API 端点通常期望以特定格式提供数据。因此,它们的行为可能有所不同,具体取决于请求中提供的数据的内容类型。更改内容类型可能使您能够:

• 触发错误,披露有用信息。
• 绕过有缺陷的防御。
• 利用处理逻辑的差异。例如,API在处理JSON数据时可能是安全的,但在处理XML时容易受到注入攻击。

​ 要更改内容类型,请修改Content-Typeheader,然后相应地重新格式化请求体。您可以使用内容类型转换器 BApp 自动转换 XML 和 JSON 之间请求中提交的数据。