1. 定义：导航 vs 目的地

• 路由 (Route)：是一套寻址机制。它像是一张地图或指南针，告诉服务器：“当收到指向 /api/user/login 的 POST 请求时，请把它交给 authController 的 login 函数处理。”
• 接口 (Interface/Endpoint)：是功能的暴露点。它是客户端与服务端进行数据交换的“契约”。它不仅包含路径，还包含请求方法、参数格式和返回内容。

2. 核心差异对比表

3. 一对多：同一个路由，不同的接口

一个常见的误区是认为一个 URL 路径就是一个接口。

• 路由：https://example.com/api/v1/order/123
• 接口 A：GET 方法 —— 获取 123 号订单详情（查询接口）。
• 接口 B：DELETE 方法 —— 删除 123 号订单（操作接口）。
• 接口 C：PUT 方法 —— 修改 123 号订单数据（更新接口）。

结论：在这个例子中，路由只有一个，但接口有三个。每个接口的后端处理逻辑、所需的权限等级完全不同。

4. 挖洞实战中的应用

A. 针对“路由”的攻击 (Routing Attacks)

攻击者试图利用路径解析的差异来绕过防御。

• 案例：路径规范化漏洞 (Path Normalization)
  • 目标：/admin/delete_user (路由层拦截 403)。
  • 攻击：/dashboard/..;/admin/delete_user。
  • 原理：Nginx（路由层）认为你在访问 /dashboard/，放行了请求；但后端的 Tomcat（接口层）将路径解析为 /admin/delete_user 并执行了逻辑。

B. 针对“接口”的攻击 (Interface Attacks)

攻击者在“路”通了之后，针对接口逻辑进行深度挖掘。

• 案例：IDOR (平行越权)
  • 接口：GET /api/user/profile?id=100。
  • 攻击：将 id=100 改为 101。
  • 原理：路由没问题，但接口逻辑没有检查“当前登录用户是否等于被查询用户”。

5. 为什么会有“返回 HTML 还是 404”的现象？

这取决于错误处理是在哪一层触发的：

1. 路由层报错 (Router Level)：
   • 如果你访问 /nothing-here，路由表里完全没有这个路径，Web 服务器（如 Nginx）会直接返回标准的 404 HTML 错误页。
2. 业务层报错 (Application Level)：
   • 如果你访问 /api/user/999，路由是通的（指向了用户信息接口），但代码查询数据库发现 999 号用户不存在。此时接口通常会返回 JSON 格式 的报错，如 {"error": "user_not_found"}。

总结

• 路由是“导向”，解决的是 “能不能找到这个地方”。
• 接口是“交互”，解决的是 “在这个地方能做什么”。

在渗透测试时，先用目录爆破工具（如 ffuf）去试探路由，确定哪些路径是通的；然后针对每一个通了的路径，用 Burp Suite 分析它的接口定义，尝试注入参数和测试逻辑。这才是高效的挖洞流程。