0x01 工具介绍
APIKit二开版本是基于Burp Suite的API接口扫描插件,改进自APIKit1.0。新增扫描开关以防止无意扫描,优化页面性能,增强界面交互体验。该插件可主动/被动扫描API泄露文档并生成请求包用于安全测试,支持自定义扫描与自动发送请求功能。
下载地址在末尾(昨日文章回复日期未更新,已在01月15日更新重新获取即可)
0x02 功能简介
功能
-
该版本APIKit是对API-Security项目的APIKit1.0进行的二开,增加了扫描开关,避免直接打开burp乱扫被抓起来。
-
修复了输出页面卡死的问题。
-
Do Target API Scan页面将cookie的输入框变大了一些,更美观的输入。
-
APIKit是基于BurpSuite提供的JavaAPI开发的插件。
-
APIKit可以主动/被动扫描发现应用泄露的API文档,并将API文档解析成BurpSuite中的数据包用于API安全测试。
界面如下
0x03更新说明
1.增加了一下表格的排序,方便更快筛选到不同响应
2.修改名字为APIKit_pro,方便和原版共存
0x04 使用介绍
Scanner Enabled
开启扫描就打开Scanner Enabled按钮
Send with Cookie
开启Cookie,可以把包的Cookie存下来,生成请求的时候保留Cookie。
Auto Request Sending
扫描所有API泄露中的所有接口。
Do Auto API scan
Do Auto API scan可以指定任意一个请求进行API指纹探测。在任何一个Burpsuite可以右键打开更多选项的页面中,都可以点击右键,选择Do Auto API scan来发起一次主动扫描,进行API指纹探测。
Do Target API Scan
Do Target API scan可以指定任意API技术、任意BasePath、任意API文档Path、和任意Header进行API请求的生成和探测。在任何一个Burpsuite可以右键打开更多选项的页面中,都可以点击右键,选择Do Target API scan来打开选项框。
0x05 下载
https://github.com/XF-FS/APIKit/releases/download/APIKit1.6.1/APIKit_pro-1.6.1.jar
原文始发于微信公众号(渗透安全HackTwo):API漏洞挖掘神器API_kit的二开版本|Burp Suite 插件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论