目录导航
awesome-api-security(aka awesome-apisec)存储库是很棒的 API 安全工具和资源的集合。
重点是有利于所有社区的开源工具和资源。
API 密钥:查找和验证
| 名称 | 描述 |
|---|---|
| API Guesser | Muhammad Daffa 猜测 API 密钥/OAuth 令牌的简单网站 |
| API 密钥泄漏:工具和漏洞利用 | API 密钥是用于验证与您的项目关联的请求的唯一标识符。一些开发人员可能会对它们进行硬编码或将其留在公共共享中。 |
| Key-Checker | 用于检查 API 密钥/访问令牌有效性的 Go 脚本。 |
| Keyhacks | Keyhacks 是一个存储库,它显示了快速检查漏洞赏金计划泄露的 API 密钥是否有效的方法。 |
| 私钥使用验证 | Driftwood 是一种可以让您查找私钥是用于 TLS 之类的东西还是用作用户的 GitHub SSH 密钥工具。 |
图书
| 作者 | 出版商 | 名称 | 描述 |
|---|---|---|---|
| Emily Freeman | Data Theorem Special Edition | API Security for dummies | 本书是对 API 安全和 DevSecOps 关键概念的高级介绍。 |
| Neil Madden | Manning | API Security in Action | API 安全实战教您如何为任何情况创建安全的 API。 |
| Dolev Farhi 和 Nick Aleks | No starch press | Black Hat GraphQL | Black Hat GraphQL(预订中)。 |
| Corey Ball | No starch press | Hacking APIs | 破坏 Web 应用程序编程接口。 |
| Justing Richer 和Antonio Sanso | Manning | Understanding API Security | 多本 Manning 书籍中的几章为您提供了 API 安全性在现实世界中如何工作的一些背景信息。 |
备忘单
| 名称 | 描述 |
|---|---|
| GraphQL 备忘单 | GraphQL – OWASP 备忘单系列 |
| JSON Web 令牌安全备忘单 | PentesterLab – JSON Web 令牌安全备忘单 |
| 注入预防备忘单 | 注入 – OWASP 备忘单系列 |
| 微服务安全备忘单 | 微服务 – OWASP 安全备忘单 |
| OWASP API 安全 Top 10 | 42Crunch – OWASP API 安全 Top 10 |
| REST 评估备忘单 | REST 评估 – OWASP 备忘单系列 |
| REST 安全备忘单 | REST 安全 – OWASP 备忘单系列 |
检查清单
| 作者 | 名称 | 描述 |
|---|---|---|
| HolyBugx | another API Security checklist | HolyTips:API 安全清单 |
| APIOps Cycles | API 审核清单 | API 审核清单。 |
| Shieldfy | API-安全检查表 | 设计、测试和发布 API 时最重要的安全对策清单。 |
| API Mike, @api_sec | API渗透测试清单 | 包含在任何 API 渗透测试过程中的常见步骤。 |
| Latish Danawale | API 测试清单 | API 测试清单。 |
| Inon Shkedy | 31 天的 API 安全提示 | 这个挑战是 Inon Shkedy 的 31 天 API 安全提示。 |
| Binary Brotherhood | OAuth2:安全检查表 | OAuth 2.0 威胁模型渗透测试清单 |
| Apollo | GraphQL API — GraphQL 安全检查表 | 保护 GraphQL API 的 9 种方法 — GraphQL 安全清单 |
| LeapGraph | GraphQL API – 完整的漏洞清单 | 如何保护 GraphQL API – 完整的漏洞清单 |
| Lokesh Gupta | REST API 安全基础 | REST API 教程博客条目。 |
会议
| 名称 | 描述 |
|---|---|
| API安全 | 世界上第一个专门讨论 API 威胁管理的会议;汇集 API 安全方面的破坏者、防御者和解决方案。 |
故意易受攻击的 API
| 名称 | 描述 |
|---|---|
| APISandbox | 基于 Docker-Compose 的预构建易受攻击的多 API 场景环境。 |
| Bookstore | TryHackMe room – 具有基本 Web 枚举和 REST API 模糊测试的初学者级别框。 |
| crAPI | 完全荒谬的 API (crAPI) |
| Damn-Vulnerable-GraphQL-Application | 该死的易受攻击的 GraphQL 应用程序是 Facebook 的 GraphQL 技术的故意易受攻击的实现,以学习和实践 GraphQL 安全性。 |
| Damn Vulnerable Micro Services | 这是一个用多种语言编写的易受攻击的微服务,用于演示 OWASP API 最高安全风险(开发中) |
| Damn Vulnerable Web Services | 该死的易受攻击的 Web 服务是一种易受攻击的 Web 服务/API/应用程序,我们可以使用它来了解 Web 服务/API 漏洞。 |
| Generic-University | 易受攻击的 API 与 Laravel 应用程序 |
| node-api-goat | 一个简单的 Express.JS REST API 应用程序,它使用包含漏洞的代码公开端点。 |
| Pixi | Pixi 模块是一个 MEAN Stack 网络应用程序,具有极其不安全的 API! |
| REST API Goat | 这是一个“山羊”项目,因此您可以熟悉 REST API 测试。 |
| VAmPI | 易受攻击的 REST API 和 OWASP API 的前 10 个漏洞 |
| vAPI | vAPI 是易受攻击的逆向编程接口,它是通过练习模拟 OWASP API Top 10 场景的自托管 API。 |
| vulnapi | 故意非常脆弱的 API,带有额外的不良编码实践。 |
| vulnerable-graphql-api | GraphQL API 的一个非常脆弱的实现。 |
| Websheep | Websheep 是一个基于易受攻击的 ReSTful API 的应用程序。 |
设计、架构、开发
| 名称 | 描述 |
|---|---|
| API 规范工具箱 | 这个工具箱的目标是尝试绘制出所有正在使用的不同 API 规范,以及服务、工具、扩展和其他支持元素。 |
| 了解 gRPC、OpenAPI 和 REST | gRPC vs REST:了解 gRPC、OpenAPI 和 REST 以及何时在 API 设计中使用它们 |
| API 安全设计最佳实践 | 企业和公共云的 API 安全设计最佳实践。 |
| REST API 设计指南 | 本设计指南或风格指南包含适用于大多数 REST API 的最佳实践。 |
| 如何设计 REST API | 如何设计 REST API?- 解决安全性、分页、过滤、版本控制、部分答案、CORS 等问题的完整指南。 |
| 很棒的REST | 关于 RESTful API 架构、开发、测试和性能的重要资源的协作列表。随时为这个正在进行的列表做出贡献。 |
| 收集 API 需求 | 使用 APIOps Cycles 为您的 API 收集需求。 |
| API审计 | API 审核是一种确保 API 符合 API 设计指南的方法。它还有助于检查可用性、安全性和 API 管理平台兼容性。 |
百科全书、项目、Wiki 和 GitBooks
| 名称 | 描述 |
|---|---|
| API 渗透测试书 APIs Pentest Book | six2dez – API 渗透测试书籍 |
| API安全帝国 API Security Empire | API安全帝国项目旨在呈现API安全领域独有的攻防手段 |
| API 安全百科全书 API Security Encyclopedia | APIsecurity.io – API 安全百科全书 |
| Web API Pentesting | HackTricks – Web API 渗透测试 |
| GraphQL | 黑客技巧 – GraphQL |
枚举、扫描和探索步骤
| 名称 | 描述 |
|---|---|
| Burp API 枚举 | 使用 Burp 枚举 REST API |
| ZAP扫描 | 使用 ZAP 扫描 API |
| ZAP探索 | 使用 ZAP 探索 API |
| w3af扫描 | 使用 w3af 扫描 REST API |
防火墙
| 名称 | 描述 |
|---|---|
| Wallarm 免费 API 防火墙 (Wallarm Free API Firewall) | 快速且轻量级的 API 代理防火墙,用于通过 OpenAPI 规范进行请求和响应验证。 |
模糊测试、SecLists、Wordlists 密码字典
| 名称 | 描述 |
|---|---|
| API 名称字典 | 用于 Web 应用程序评估的 API 名称词汇表 |
| API HTTP 请求方法 | @danielmiessler 的 HTTP 请求方法词表 |
| API 路由词汇表 | API 路由 – Assetnote 提供的自动词表 |
| 通用 API 端点 | 通用 API 端点的词表。 |
| fuzz.txt 的文件名 | 潜在的危险文件 |
| Fuzzing APIs | “The Fuzzing Book”中的 Fuzzing APIs 章节。 |
| GraphQL 安全列表 | 它是在安全评估期间使用的 GraphQL 列表,收集在一个地方。 |
| Hacking-APIs | @hapi_hacker 的词汇表和 API 路径 |
| Kiterunner Wordlists | Assetnote 提供的 Kiterunner 词汇表 |
| API 端点和对象列表 | 专为模糊测试而设计的 3203 个常见 API 端点和对象的列表。 |
| Swagger 端点列表 | Swagger 端点 |
| API 的 Web 内容发现的 字典表 | 它是安全评估期间使用的 API 的 Web 内容发现列表的集合。 |
HTTP 101
| 名称 | 描述 |
|---|---|
| 了解您的 HTTP 标头! | HTTP 标头:一个简化而全面的表格。 |
| 了解您的 HTTP 方法! | HTTP 方法:一个简化而全面的表格。 |
| 了解您的 HTTP 状态代码! | HTTP 状态代码:一个简化而全面的表格。 |
| HTTP 状态码 | httpstatuses.com 是一个易于参考的 HTTP 状态代码数据库,它们的定义和有用的代码参考都集中在一个地方。 |
| 知道你的 HTTP * Well | HTTP 标头、媒体类型、方法、关系和状态代码,所有这些都汇总并链接到它们的规范。 |
思维导图
| 作者 | 名称 | 描述 |
|---|---|---|
| Cypro AB | API 渗透测试 – 攻击 | 思维导图:API Pentesting – ATTACK |
| Cypro AB | API 渗透测试 – Recon | 思维导图:API Pentesting – Recon |
| Cypro AB | GraphQL 攻击 | 思维导图:GraphQL攻击 |
| Mufaddal Masalawala | IDOR技术 | 思维导图:IDOR Techniques |
| David Sopas | 思维API | 使用 MindAPI 组织您的 API 安全评估 |
| Harsh Bothra | XML 攻击 | 思维导图:XML 攻击 |
| Abhay Bhargav | REST API 防御 | 思维导图:REST API防御 |
时事通讯
| 作者 | 名称 | 描述 |
|---|---|---|
| 42Crunch | api安全篇 | API 安全文章 – 最新的 API 安全新闻、漏洞和最佳实践。 |
其他资源
| 名称 | 作者 | 描述 |
|---|---|---|
| API 黑客文章 | Dana Epp | API 黑客基础知识、工具、技术、失败和心态文章。 |
| API 安全最佳实践指南 | Expedited Security | API 安全最佳实践 MegaGuide |
| API 安全:完整指南 | Bright Security | API 安全,完整指南 |
| API渗透测试 | SecureLayer7 | API 渗透测试与 OWASP 2017 测试用例。 |
| API渗透测试报告 | UnderDefense | 匿名 API 渗透测试报告 – 供应商示例模板 |
| 使用 Swagger 文件进行 API 渗透测试 | RhinoSecurityLabs | 使用 Swagger 文件简化 API 渗透测试。 |
| API 安全路径资源 | MindAPI | 在 API 安全路径中提供帮助的资源;来自演讲/网络研讨会/视频的各种内容,必须阅读,writeups,bola/idors,oauth,jwt,速率限制,ssrf 和练习条目。 |
| API安全测试 | Spherical Defence | API 安全测试的原则以及如何对 API 执行安全测试。 |
| 查找和利用 Web 应用程序 API | Bend Theory | 在主要 Web 应用程序 API 中查找和利用意外功能 |
| 如何破解 API 并逍遥法外 | SmartBear | 如何破解 API 并侥幸逃脱(第 1 部分,共 3 部分)。 |
| 如何在 2021 年破解 API | Detectify | 如何在 2021 年破解 API |
| 如何使用开源工具在 60 分钟内破解 API | Wallarm | 如何使用开源工具在 60 分钟内破解 API |
| GraphQL 渗透测试 | YesWeHAck | 如何利用 GraphQL 端点:内省、查询、突变和工具。 |
| 修复 13 个最常见的 GraphQL 漏洞 | WunderGraph | GraphQL 安全指南,修复 13 个最常见的 GraphQL 漏洞,让您的 API 生产做好准备。 |
| 黑客 API – 来自 Bug Bounty 训练营的笔记 | Aakash Choudhary | 我在 Bug Bounty Bootcamp 上关于黑客攻击 API 的笔记。 |
| SOAP 安全漏洞和预防 | NeuraLegion | SOAP 安全性、主要漏洞以及如何预防它们。 |
| API 和微服务安全 | PortSwigger | 什么是 API 和微服务安全性? |
| 加强您的 API 安全态势 | 42Crunch | 加强您的 API 安全态势——福特汽车公司。 |
| 我们明星的错误 | Tenchi Security | AWS API Gateway Lambda 授权方和 IAM 通配符扩展的安全隐患。 |
播放列表
| 名称 | 描述 |
|---|---|
| Everything API Hacking | 来自 Katie Paxton-Fear、@InsiderPhD 和其他创建 API 黑客知识播放列表的人的视频合集! |
| API hacking | 来自@theXSSrat 的 API 黑客视频 |
播客
| 名称 | 描述 |
|---|---|
| Hacking APIs | 黑客思维播客:黑客 API |
| 破解您的 API 安全测试 | 21:Troy Hunt:破解您的 API 安全测试。 |
| OWASP API 安全项目 | Erez Yalon — OWASP API 安全项目 |
| 第 38 集 API 安全最佳实践 | We Hack Purple 播客第 38 集 API 安全最佳实践。 |
演示文稿、视频
| 名称 | 描述 |
|---|---|
| 渗透测试-rest-api | Gaurang Bhatnagar 对 Rest API 进行渗透测试 |
| 保护您的 API | “你的 API 有多安全?” – 保护您的 API:OWASP API Top 10 2019,案例研究和演示。 |
| api-security-testing-for-hackers | 针对黑客的 API 安全测试 |
| 糟糕的 api-hapi-黑客 | 糟糕的 API,hAPI 黑客! |
| 通过您的 API 披露信息 | 隐藏在普通站点中:通过您的 API 披露信息。 |
| 安心滥用 graphql | REST in Peace:滥用 GraphQL 攻击底层基础设施。 |
项目
| 名称 | 描述 |
|---|---|
| owasp api安全项目 | OWASP API 安全项目 – API 安全 Top 10 |
API安全
| 名称 | 描述 |
|---|---|
| awesome-security-apis | 用于安全性的公共 JSON API 的集合列表。 |
规范
工具
| 名称 | 描述 |
|---|---|
| GraphQL | |
| BatchQL | GraphQL 安全审计脚本,专注于执行批处理 GraphQL 查询和变更。 |
| clairvoyance | 尽管禁用了内省,但仍获取 GraphQL API 模式! |
| InQL | InQL – 用于 GraphQL 安全测试的 Burp 扩展。 |
| GraphQLmap | GraphQLmap 是一个脚本引擎,用于与 graphql 端点交互以进行渗透测试。 |
| graphql-path-enum | 列出在 GraphQL 模式中达到给定类型的不同方式的工具。 |
| graphql-playground | 用于更好的开发工作流程的 GraphQL IDE(GraphQL 订阅、交互式文档和协作) |
| graphql-threat-matrix | 安全专家使用 GraphQL 威胁框架来研究 GraphQL 实施中的安全漏洞。 |
| graphw00f | graphw00f 是 GraphQL 服务器引擎指纹识别实用程序,适用于希望了解更多有关给定 GraphQL 端点背后的技术的软件安全专业人员。 |
| REST API | |
| APICheck | 用于 REST API 的 DevSecOps 工具集。 |
| APIClarity | 从实时工作负载流量无缝重建开放 API 规范。 |
| APIFuzzer | 无需编码即可使用 OpenAPI 或 Swagger API 定义对您的应用程序进行模糊测试。 |
| APIKit | APIKit:发现、扫描和审计 APIs 工具包合二为一。 |
| Arjun | HTTP 参数发现套件。 |
| Astra | REST API 的自动化安全测试。 |
| Automatic API Attack Tool | Imperva 的可定制 API 攻击工具将 API 规范作为输入,生成并运行基于它作为输出的攻击。 |
| CATS | CATS 是用于 OpenAPI 端点的 REST API 模糊器和负面测试工具。 |
| Cherrybomb | 使用 CLI 工具停止半成品 API 规范,该工具可帮助您通过验证 API 规范避免未定义的用户行为。 |
| ffuf | 用 Go 编写的快速网络模糊测试工具。 |
| fuzzapi | Fuzzapi 是用于 REST API 渗透测试的工具,TnT-Fuzzerd 使用 API_Fuzzer gem。 |
| gotestwaf | Golang 中的一个开源项目,用于测试不同的 Web 应用程序防火墙 (WAF) 的检测逻辑和绕过 |
| kiterunner | 上下文内容发现工具。 |
| mitmproxy2swagger | 通过捕获流量自动对 REST API 进行逆向工程 |
| REST | RESTler 是第一个有状态的 REST API 模糊测试工具,用于通过 REST API 自动测试云服务并查找这些服务中的安全性和可靠性错误。 |
| Swagger-EZ | 一种使用 OpenAPI 定义对 API 进行渗透测试的工具。 |
| TnT-Fuzzer | 用 python 编写的 OpenAPI 2.0 (Swagger) 模糊器。对于您的 API,基本上是 TnT。 |
| wadl-dumper | 将所有可用路径和/或端点转储到 WADL 文件中。 |
| fuzz-lightyear | 受 pytest 启发的 DAST 框架,能够通过混沌工程测试和有状态的 Swagger 模糊测试识别分布式微服务生态系统中的漏洞。 |
| SOAP | |
| Wsdler | Burp 的 WSDL 解析器扩展。 |
| wsdl-wizard | WSDL Wizard 是一个用 Python 编写的 Burp Suite 插件,用于检测当前和发现新的 WSDL(Web 服务定义语言)文件。 |
| 其他 | |
| SoapUI | SoapUI 是一个免费的开源跨平台 API 和 Web 服务功能测试解决方案。 |
| dredd | 与语言无关的 HTTP API 测试工具 |
| unfurl | 提取 stdin 上提供的 URL 位 |
培训、研讨会、实验室
| 作者 | 名称 | 描述 |
|---|---|---|
| Pentester Academy | API 安全,REST 实验室 | Pentester Academy – 攻防 |
| Corey Ball | API安全大学 | APIsec 大学为应用程序安全专业人员提供培训课程 |
| Grant Ongers | API 前 10 名演练 | OWASP API Top 10 CTF 演练。 |
| Hacker101 | GraphQL 挑战 | GraphQL Week on The Hacker101 夺旗挑战 |
| OWASP-SKF | GraphQL 实验室 | OWASP 安全知识框架上的 GraphQL 实验室 |
| Corey Ball | 黑客API | 黑客 API:研讨会 |
| Wesley Thijs | 让我们构建一个 API 来破解 | @TheXSSrat 的 API 黑客练习 |
| Kontra | OWASP API 前 10 名 | 是一系列免费的交互式应用程序安全培训模块,教开发人员如何识别和缓解其 Web API 端点中的安全漏洞。 |
| ShipFast | 实用 API 安全演练 | 学习实用的移动和 API 安全技术:API 密钥、静态和动态 HMAC、动态证书固定和移动应用证明。 |
| Tushar Kulkarni | vAPI | vAPI 是易受攻击的逆向编程接口,可自我托管的 PHP 接口,以练习的方式模仿 OWASP API 前 10 大场景。 |
| 作者 | 名称 | 描述 |
|---|---|---|
| 42Crunch | @apisecurityio | API 安全新闻、标准、漏洞、工具。 |
项目地址:
GitHub:
https://github.com/arainho/awesome-api-security
转载请注明出处及链接