API-Pentesting-Tools：各类API测试工具集合

翻译自项目：https://github.com/yogsec/API-Pentesting-Tools

下面每一个工具都是开源的，可以自行复制名称在github中搜索

用于 API 测试的检查工具

• • Nmap – 扫描开放端口、服务和 API 终端节点
• • Amass — 执行子域枚举以发现 API 主机
• • Subfinder （子查找器） – 查找可能托管 API 的子域。
• • crt.sh – 在 SSL 证书中搜索 API 子域。
• • MassDNS – 解析并查找隐藏的 API 域。
• • Aquatone – API 终端节点的视觉侦查。
• • httprobe – 检查哪些 API 终端节点处于活动状态。
• • Waybackurls / Gau – 查找存档的 API 终端节点。
• • ffuf – 隐藏 API 路径的模糊测试。
• • Kiterunner – 发现未记录的 API 终端节点。
• • Swagger Editor （Swagger 编辑器） – 解析潜在终端节点的 API 文档。
• • GraphQL Voyager — 分析 GraphQL API 架构。
• • Burp Suite – 通过流量分析发现被动 API 端点。
• • Google Dorking – 通过搜索引擎查找公开的 API 端点。
• • Shodan – 搜索在特定技术上运行的公开 API。

用于 API 测试的身份验证测试工具

• • Burp Suite - 截取和操纵身份验证请求。
• • Postman - 手动测试API身份验证流。
• • JWT_Tool - 在JWT身份验证中测试漏洞。
• • authanalyzer（burp扩展） - 分析身份验证机制。
• • OWASP ZAP - 标识与身份验证相关的漏洞。
• • SAML Raider - 测试SAML身份验证安全性。
• • OAuth2 Proxy - 分析OAuth2身份验证流。
• • kerbrute - 蛮力Kerberos身份验证。
• • TokensPray - 通过喷洒泄漏的令牌来测试API令牌身份验证。
• • CyberChef - 解码和分析身份验证令牌。
• • hackBrowserData - 从浏览器中提取存储的API凭据。
• • MITMProxy - 拦截并修改API身份验证请求。
• • GraphQl Raider - 在GraphQl API中测试身份验证。
• • AquaTone - 在API中发现身份验证端点。
• • ffuf - 蛮力身份验证令牌和会话ID。

API测试的授权测试工具

• • Burp Suite - 操纵API请求测试授权缺陷。
• • Postman - 手动修改标题，令牌和访问控制测试的角色。
• • Autorize (Burp Extension) - 自动检查授权漏洞。
• • JWT_Tool - 分析和操纵JWT令牌以测试特权升级。
• • OWASP ZAP - 标识API授权弱点。
• • GraphQl Raider - 探索GraphQl授权问题。
• • arjun - 检测可能绕过授权的隐藏参数。
• • authmatrix（Burp扩展） - 测试基于角色的访问控制（RBAC）漏洞。
• • ffuf - fuzzes API端点，用于未经授权的访问。
• • HoppsCotch - 测试具有不同用户角色的API授权。
• • MITMProxy - 拦截并修改API请求以测试访问控制。
• • Google Dorking - 找到授权较弱的曝光端点。
• • IAM Vulnerability Scanner - 标识API中的IAM错误配置。
• • GraphQl Voyager - 可视化GraphQl权限检测缺陷。
• • Cyberchef - 解码和分析授权令牌。

用于API测试的输入验证测试工具

• • Burp Suite - 模糊和操纵API参数以进行注射攻击。
• • Postman - 发送精心设计的输入以测试验证机制。
• • OWASP ZAP - 标识API端点中的输入验证缺陷。
• • SQLMAP - 检测和利用SQL注入漏洞。
• • commix - 测试命令注入漏洞。
• • XSSTRIKE - 检测和利用API响应中的XSS漏洞。
• • ffuf - 基于输入的漏洞的API端点。
• • arjun - 找到可能缺乏验证的隐藏的API参数。
• • WFUZZ - 自动化针对API输入字段的构图攻击。
• • NIKTO - 扫描API是否有常见的错误配置和漏洞。
• • NOSQLMAP - 检测NoSQL注入漏洞。
• • GraphQl Raider - 在GraphQl API中找到输入验证缺陷。
• • cyberchef - 编码和解码输入绕过过滤器。
• • MITMPROXY - 拦截并修改API请求以测试输入验证。
• • KNOXSS - API响应的自动化XSS扫描仪。

用于API测试的费率限制和DOS测试工具

费率限制和拒绝服务（DOS）测试有助于识别漏洞，使攻击者可以过多要求API超载API。

• • BURP Suite - 通过自动快速请求来测试API率限制。
• • Postman - 手动发送重复的请求以观察限制率行为。
• • OWASP ZAP - 自动化请求爆发以测试API速率限制。
• • slowloris - 模拟对API的低频带宽度DOS攻击。
• • Hping3 - 生成高流量API请求应力测试。
• • Taurus - 负载测试可用于测量其限制响应。
• • gatling - 模拟API负载测试以识别性能瓶颈。
• • Apache Jmeter - 执行高负载API测试以检测限制速率问题。
• • ffuf - 发送高频请求以测试费率限制。
• • K6 - 负载测试工具，用于评估重度请求下的API性能。
• • Locust - 用于应力测试API的分布式负载测试工具。
• • Artillery - 用于DOS和限速验证的可扩展负载测试工具。
• • Tsunami Security Scanner - 标识了API速率限制弱点。
• • metasploit（辅助模块） - 模拟对API端点的DOS攻击。
• • Boofuzz - 模糊API端点以检测限制速率旁路漏洞。

安全标头和CORS测试工具用于API测试

安全标头和CORS（交叉原始资源共享）测试有助于识别可能导致数据曝光，未经授权访问或安全旁路的错误配置。

• • Burp Suite - 测试和操纵安全标题和CORS政策。
• • OWASP ZAP - 标识不安全的CORS配置和缺少的安全标头。
• • Postman - 手动检查API响应是否与CORS相关的问题。
• • curl - 获取API响应以分析CORS标题。
• • Nikto - 扫描是否缺少API响应中的安全标头。
• • HTTP Toolkit - 捕获并检查API流量是否有CORS漏洞。
• • CORS Scanner （OWASP） - 标识API中的CORS错误配置。
• • Mitmproxy - 拦截API请求分析安全标头和CORS策略。
• • SecurityHeaders.com - 用于评估API安全标头的在线工具。
• • CSRF Tester - 检查API中的CSRF漏洞，依靠安全标头。
• • Header Security Tool (Mozilla Observatory) - 测试API是否缺少安全标头。
• • retire.js - 检测可能影响CORS安全性的过时的JavaScript库。
• • CSP Evaluator（Google） - 测试内容安全策略（CSP）配置。
• • nmap（http-headers 脚本） - 提取并评估API的安全标头。
• • TestCORS.com - 用于检查CORS策略配置的在线工具。

会话管理测试用于API测试的工具

会话管理测试可确保API安全地处理用户会话，以防止会话劫持，固定或会话终止不当。

• • Burp Suite - 测试会话令牌的生成，管理和到期。
• • OWASP ZAP - 标识API响应中的会话管理缺陷。
• • Postman - 在API请求中管理和检查会话令牌。
• • MITMPROXY - 截距和修改会话令牌以进行漏洞分析。
• • jwt.io - 在线解码和分析JWT令牌的安全缺陷。
• • AuthAnalyzer（burp扩展） - 标识身份验证和会话管理问题。
• • Session Hijacking Toolkit - 测试API会话管理弱点。
• • CSRF Tester - 评估针对CSRF攻击的API会话安全性。
• • nmap（http-sessions脚本） - 提取和评估会话cookie。
• • Ettercap - 在网络环境中测试API会话安全性。
• • Wireshark - 捕获和分析网络流量中的API会话令牌。
• • Cookie Cadger - 检测到运输中的不安全的API会话cookie。
• • ModHeader（浏览器扩展） - 修改会话令牌以进行API安全测试。
• • Session Fixation Tester - 测试API是否有会话固定漏洞。
• • JWT Cracker - 尝试在JWT会话令牌上蛮力攻击。

API测试的业务逻辑测试工具

业务逻辑测试的重点是确定API核心功能中的安全缺陷，以确保工作流，访问控件和用户交互是无法利用的。

• • BURP Suite（手动测试和扩展） - 通过修改API请求来标识逻辑缺陷。
• • OWASP ZAP - 通过拦截和修改请求来测试API工作流程。
• • Postman - 手动操纵API调用以检查意外行为。
• • Mitmproxy - 拦截和修改API流量以分析逻辑漏洞。
• • GraphQl Voyager - 分析GraphQl架构的逻辑安全缺陷。
• • kiterunner - fuzzes API端点以发现隐藏的逻辑漏洞。
• • Fuzzapi - 自动化API模糊以检测异常的业务逻辑缺陷。
• • Restler fuzzer - 检测REST API序列和工作流程中的逻辑缺陷。
• • GraphQl Raider（Burp扩展） - 在GraphQl API中找到逻辑漏洞。
• • AuthMatrix（Burp扩展） - 测试特权升级和业务逻辑缺陷。
• • SecApps Logic Analyzer - 检查逻辑上不一致的API响应。
• • API Hammer - 模拟不同的API请求方案以测试工作流程安全性。
• • BOLA Detector - 标识了损坏的对象级别授权（BOLA）问题。
• • GadgetProbe - 测试影响API逻辑的序列化漏洞。
• • Custom Python Scripts - 量身定制的自动化用于检测API逻辑缺陷。

用于API测试的模糊工具

API测试中的模糊有助于通过将畸形，意外或随机数据发送到API端点来观察它们的响应方式，从而有助于识别安全漏洞。

• • Burp Suite Intruder – Automates API fuzzing with customizable payloads.
• • BURP Suite Intruder - 使用可自定义的有效载荷自动化API模糊。
• • ffuf - 用于API端点发现和模糊的快速Web Fuzzer。
• • wfuzz - 基于CLI的Fuzzer测试API参数和端点。
• • Kiterunner – API-specific fuzzer that brute forces undocumented endpoints.
• • Restler Fuzzer - Microsoft的REST API的API模糊工具。
• • Fuzzapi - 用于测试API安全漏洞的模糊框架。
• • Gfuzz - 用于检测输入验证缺陷的轻量级API fuzzer。
• • Radamsa - 通过突变API请求生成测试用例。
• • JBroFuzz - OWASP的模糊工具用于测试API稳定性和安全性。
• • Corpus-based Fuzzing（例如AFL，Libfuzzer） - 用于API响应的自定义模糊。

用于API测试的记录和监视测试工具

记录和监视对于检测安全威胁，确保合规和维护API安全至关重要。这些工具有助于分析日志，检测异常并监视API活动。

• • GrayLog - 用于API安全监视的集中日志管理和分析工具。
• • Splunk - 提供实时安全性分析和API活动监视。
• • Elk Stack（Elasticsearch，Logstash，Kibana） - 开源日志分析和监视平台。
• • OpenTelemetry - 用于监视API请求的API可观察性和跟踪工具。
• • Prometheus - 监视API性能并检测到异常活动。
• • Grafana - 可视化API日志并监视数据以获取安全洞察。
• • Sumo Logic - 基于云的日志管理工具，用于API安全分析。
• • Datadog - 监视API流量，日志和安全事件。
• • Wazuh - 开源安全监控和日志分析工具。
• • New Relic - 跟踪API性能并检测安全异常。