作者:Ske
联合开发:Chhyx
定位:辅助甲方安全人员巡检网站资产,发现并分析API安全问题
功能:通过提取自动加载和静态地址中的JS和页面内容,解析Webpack打包和使用正则匹配技术,发现API接口及Base URL。针对提取的接口,通过Fuzz测试、无参和有参请求三种方式验证接口响应,进一步智能提取参数并对其进行动态测试。支持各版本Swagger解析,自动识别危险接口,结合十余种Bypass技术绕过常见限制,全面挖掘未授权访问、远程命令执行、文件上传等漏洞。所有数据统一存储至文本、Excel中,重点关注接口响应的差异性和敏感信息泄漏情况,为漏洞发现提供数据支持。
使用
在整个方案架构设计中,设置了三种数据存储方式,分别为文本文件(txt)、电子表格(Excel)和数据库(MySQL)。此项目为了易用,移除了Mysql存储。
下图展示了数据库中存储的“参数”表。其中,parameter字段表示提取出来的参数名。
这张表需要特别关注,因为在后续的运营过程中,通过分析这些数据可以发现大量 Web 漏洞。举例说明:
寻找RCE漏洞:在api_url和parameter字段模糊匹配ping、cmd、command等关键词。
寻找URL跳转或者SSRF漏洞:模糊匹配url、ip等关键词。
寻找任意文件上传或者读取漏洞:模糊匹配upload、download、read、file等关键词。
寻找未授权访问漏洞:模糊匹配get、config等关键词。
下载地址
https://github.com/0x727/ChkApi_0x727
原文始发于微信公众号(菜鸟学信安):API安全检测自动化工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论