API安全检测自动化工具

admin 2025年6月19日21:48:03评论15 views字数 1051阅读3分30秒阅读模式
介绍

作者:Ske

联合开发:Chhyx

定位:辅助甲方安全人员巡检网站资产,发现并分析API安全问题

功能:通过提取自动加载和静态地址中的JS和页面内容,解析Webpack打包和使用正则匹配技术,发现API接口及Base URL。针对提取的接口,通过Fuzz测试、无参和有参请求三种方式验证接口响应,进一步智能提取参数并对其进行动态测试。支持各版本Swagger解析,自动识别危险接口,结合十余种Bypass技术绕过常见限制,全面挖掘未授权访问、远程命令执行、文件上传等漏洞。所有数据统一存储至文本、Excel中,重点关注接口响应的差异性和敏感信息泄漏情况,为漏洞发现提供数据支持。

API安全检测自动化工具
API安全检测自动化工具

使用

在整个方案架构设计中,设置了三种数据存储方式,分别为文本文件(txt)、电子表格(Excel)和数据库(MySQL)。此项目为了易用,移除了Mysql存储。

下图展示了数据库中存储的“参数”表。其中,parameter字段表示提取出来的参数名。

API安全检测自动化工具
下图展示了数据库中存储的“无参和有参三种请求方式结果”表。其中,api_url 字段表示 API 接口地址,method 字段表示请求方式,包括 GET、POST DATA 和 POST JSON 三种方式。parameter 字段表示请求 API 接口时携带的参数。res_type 字段表示响应包的返回格式,code 字段表示响应状态码,length 字段表示响应包内容的长度。

这张表需要特别关注,因为在后续的运营过程中,通过分析这些数据可以发现大量 Web 漏洞。举例说明:

寻找RCE漏洞:在api_url和parameter字段模糊匹配ping、cmd、command等关键词。

寻找URL跳转或者SSRF漏洞:模糊匹配url、ip等关键词。

寻找任意文件上传或者读取漏洞:模糊匹配upload、download、read、file等关键词。

寻找未授权访问漏洞:模糊匹配get、config等关键词。

API安全检测自动化工具
下图展示了数据库中存储的“响应包差异化”表。其中,content_hash 字段表示响应包内容的哈希值,num 字段表示该哈希值出现的次数,length 字段表示对应响应包内容的长度,file_path 字段表示响应包保存的文件路径。

API安全检测自动化工具
下图展示了数据库中存储的“敏感信息泄漏”表,可以看到其中包含泄漏的敏感信息,如 JDBC 连接语句、账号密码、私钥、凭证,以及各种云平台的 AKSK 等。

API安全检测自动化工具
API安全检测自动化工具

下载地址

https://github.com/0x727/ChkApi_0x727

原文始发于微信公众号(菜鸟学信安):API安全检测自动化工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月19日21:48:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   API安全检测自动化工具http://cn-sec.com/archives/4179721.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息