AP​​I安全工具和资源大全 awesome api security

AP​​I安全工具和资源大全 awesome api security

awesome-api-security(aka awesome-apisec)存储库是很棒的 AP​​I 安全工具和资源的集合。
重点是有利于所有社区的开源工具和资源。

API 密钥:查找和验证

名称描述
API GuesserMuhammad Daffa 猜测 API 密钥/OAuth 令牌的简单网站
API 密钥泄漏:工具和漏洞利用API 密钥是用于验证与您的项目关联的请求的唯一标识符。一些开发人员可能会对它们进行硬编码或将其留在公共共享中。
Key-Checker用于检查 API 密钥/访问令牌有效性的 Go 脚本。
KeyhacksKeyhacks 是一个存储库,它显示了快速检查漏洞赏金计划泄露的 API 密钥是否有效的方法。
私钥使用验证Driftwood 是一种可以让您查找私钥是用于 TLS 之类的东西还是用作用户的 GitHub SSH 密钥工具。

图书

作者出版商名称描述
Emily FreemanData Theorem Special EditionAPI Security for dummies本书是对 API 安全和 DevSecOps 关键概念的高级介绍。
Neil MaddenManningAPI Security in ActionAPI 安全实战教您如何为任何情况创建安全的 API。
Dolev Farhi 和 Nick AleksNo starch pressBlack Hat GraphQLBlack Hat GraphQL(预订中)。
Corey BallNo starch pressHacking APIs破坏 Web 应用程序编程接口。
Justing Richer 和Antonio SansoManningUnderstanding API Security多本 Manning 书籍中的几章为您提供了 API 安全性在现实世界中如何工作的一些背景信息。

备忘单

名称描述
GraphQL 备忘单GraphQL – OWASP 备忘单系列
JSON Web 令牌安全备忘单PentesterLab – JSON Web 令牌安全备忘单
注入预防备忘单注入 – OWASP 备忘单系列
微服务安全备忘单微服务 – OWASP 安全备忘单
OWASP API 安全 Top 1042Crunch – OWASP API 安全 Top 10
REST 评估备忘单REST 评估 – OWASP 备忘单系列
REST 安全备忘单REST 安全 – OWASP 备忘单系列

检查清单

作者名称描述
HolyBugxanother API Security checklistHolyTips:API 安全清单
APIOps CyclesAPI 审核清单API 审核清单。
ShieldfyAPI-安全检查表设计、测试和发布 API 时最重要的安全对策清单。
API Mike, @api_secAPI渗透测试清单包含在任何 API 渗透测试过程中的常见步骤。
Latish DanawaleAPI 测试清单API 测试清单。
Inon Shkedy31 天的 API 安全提示这个挑战是 Inon Shkedy 的 31 天 API 安全提示。
Binary BrotherhoodOAuth2:安全检查表OAuth 2.0 威胁模型渗透测试清单
ApolloGraphQL API — GraphQL 安全检查表保护 GraphQL API 的 9 种方法 — GraphQL 安全清单
LeapGraphGraphQL API – 完整的漏洞清单如何保护 GraphQL API – 完整的漏洞清单
Lokesh GuptaREST API 安全基础REST API 教程博客条目。

会议

名称描述
API安全世界上第一个专门讨论 API 威胁管理的会议;汇集 API 安全方面的破坏者、防御者和解决方案。

故意易受攻击的 API

名称描述
APISandbox基于 Docker-Compose 的预构建易受攻击的多 API 场景环境。
BookstoreTryHackMe room – 具有基本 Web 枚举和 REST API 模糊测试的初学者级别框。
crAPI完全荒谬的 API (crAPI)
Damn-Vulnerable-GraphQL-Application该死的易受攻击的 GraphQL 应用程序是 Facebook 的 GraphQL 技术的故意易受攻击的实现,以学习和实践 GraphQL 安全性。
Damn Vulnerable Micro Services这是一个用多种语言编写的易受攻击的微服务,用于演示 OWASP API 最高安全风险(开发中)
Damn Vulnerable Web Services该死的易受攻击的 Web 服务是一种易受攻击的 Web 服务/API/应用程序,我们可以使用它来了解 Web 服务/API 漏洞。
Generic-University易受攻击的 API 与 Laravel 应用程序
node-api-goat一个简单的 Express.JS REST API 应用程序,它使用包含漏洞的代码公开端点。
PixiPixi 模块是一个 MEAN Stack 网络应用程序,具有极其不安全的 API!
REST API Goat这是一个“山羊”项目,因此您可以熟悉 REST API 测试。
VAmPI易受攻击的 REST API 和 OWASP API 的前 10 个漏洞
vAPIvAPI 是易受攻击的逆向编程接口,它是通过练习模拟 OWASP API Top 10 场景的自托管 API。
vulnapi故意非常脆弱的 API,带有额外的不良编码实践。
vulnerable-graphql-apiGraphQL API 的一个非常脆弱的实现。
WebsheepWebsheep 是一个基于易受攻击的 ReSTful API 的应用程序。

设计、架构、开发

名称描述
API 规范工具箱这个工具箱的目标是尝试绘制出所有正在使用的不同 API 规范,以及服务、工具、扩展和其他支持元素。
了解 gRPC、OpenAPI 和 RESTgRPC vs REST:了解 gRPC、OpenAPI 和 REST 以及何时在 API 设计中使用它们
API 安全设计最佳实践企业和公共云的 API 安全设计最佳实践。
REST API 设计指南本设计指南或风格指南包含适用于大多数 REST API 的最佳实践。
如何设计 REST API如何设计 REST API?- 解决安全性、分页、过滤、版本控制、部分答案、CORS 等问题的完整指南。
很棒的REST关于 RESTful API 架构、开发、测试和性能的重要资源的协作列表。随时为这个正在进行的列表做出贡献。
收集 API 需求使用 APIOps Cycles 为您的 API 收集需求。
API审计API 审核是一种确保 API 符合 API 设计指南的方法。它还有助于检查可用性、安全性和 API 管理平台兼容性。

百科全书、项目、Wiki 和 GitBooks

名称描述
API 渗透测试书 APIs Pentest Booksix2dez – API 渗透测试书籍
API安全帝国 API Security EmpireAPI安全帝国项目旨在呈现API安全领域独有的攻防手段
API 安全百科全书 API Security EncyclopediaAPIsecurity.io – API 安全百科全书
Web API PentestingHackTricks – Web API 渗透测试
GraphQL黑客技巧 – GraphQL
AP​​I安全工具和资源大全 awesome api security

枚举、扫描和探索步骤

名称描述
Burp API 枚举使用 Burp 枚举 REST API
ZAP扫描使用 ZAP 扫描 API
ZAP探索使用 ZAP 探索 API
w3af扫描使用 w3af 扫描 REST API

防火墙

名称描述
Wallarm 免费 API 防火墙
(Wallarm Free API Firewall)
快速且轻量级的 API 代理防火墙,用于通过 OpenAPI 规范进行请求和响应验证。

模糊测试、SecLists、Wordlists 密码字典

名称描述
API 名称字典用于 Web 应用程序评估的 API 名称词汇表
API HTTP 请求方法@danielmiessler 的 HTTP 请求方法词表
API 路由词汇表API 路由 – Assetnote 提供的自动词表
通用 API 端点通用 API 端点的词表。
fuzz.txt 的文件名潜在的危险文件
Fuzzing APIs“The Fuzzing Book”中的 Fuzzing APIs 章节。
GraphQL 安全列表它是在安全评估期间使用的 GraphQL 列表,收集在一个地方。
Hacking-APIs@hapi_hacker 的词汇表和 API 路径
Kiterunner WordlistsAssetnote 提供的 Kiterunner 词汇表
API 端点和对象列表专为模糊测试而设计的 3203 个常见 API 端点和对象的列表。
Swagger 端点列表Swagger 端点
API 的 Web 内容发现的 字典表它是安全评估期间使用的 API 的 Web 内容发现列表的集合。
AP​​I安全工具和资源大全 awesome api security

HTTP 101

名称描述
了解您的 HTTP 标头!HTTP 标头:一个简化而全面的表格。
了解您的 HTTP 方法!HTTP 方法:一个简化而全面的表格。
了解您的 HTTP 状态代码!HTTP 状态代码:一个简化而全面的表格。
HTTP 状态码httpstatuses.com 是一个易于参考的 HTTP 状态代码数据库,它们的定义和有用的代码参考都集中在一个地方。
知道你的 HTTP * WellHTTP 标头、媒体类型、方法、关系和状态代码,所有这些都汇总并链接到它们的规范。
AP​​I安全工具和资源大全 awesome api security

思维导图

作者名称描述
Cypro ABAPI 渗透测试 – 攻击思维导图:API Pentesting – ATTACK
Cypro ABAPI 渗透测试 – Recon思维导图:API Pentesting – Recon
Cypro ABGraphQL 攻击思维导图:GraphQL攻击
Mufaddal MasalawalaIDOR技术思维导图:IDOR Techniques
David Sopas思维API使用 MindAPI 组织您的 API 安全评估
Harsh BothraXML 攻击思维导图:XML 攻击
Abhay BhargavREST API 防御思维导图:REST API防御

时事通讯

作者名称描述
42Crunchapi安全篇API 安全文章 – 最新的 API 安全新闻、漏洞和最佳实践。

其他资源

名称作者描述
API 黑客文章Dana EppAPI 黑客基础知识、工具、技术、失败和心态文章。
API 安全最佳实践指南Expedited SecurityAPI 安全最佳实践 MegaGuide
API 安全:完整指南Bright SecurityAPI 安全,完整指南
API渗透测试SecureLayer7API 渗透测试与 OWASP 2017 测试用例。
API渗透测试报告UnderDefense匿名 API 渗透测试报告 – 供应商示例模板
使用 Swagger 文件进行 API 渗透测试RhinoSecurityLabs使用 Swagger 文件简化 API 渗透测试。
API 安全路径资源MindAPI在 API 安全路径中提供帮助的资源;来自演讲/网络研讨会/视频的各种内容,必须阅读,writeups,bola/idors,oauth,jwt,速率限制,ssrf 和练习条目。
API安全测试Spherical DefenceAPI 安全测试的原则以及如何对 API 执行安全测试。
查找和利用 Web 应用程序 APIBend Theory在主要 Web 应用程序 API 中查找和利用意外功能
如何破解 API 并逍遥法外SmartBear如何破解 API 并侥幸逃脱(第 1 部分,共 3 部分)。
如何在 2021 年破解 APIDetectify如何在 2021 年破解 API
如何使用开源工具在 60 分钟内破解 APIWallarm如何使用开源工具在 60 分钟内破解 API
GraphQL 渗透测试YesWeHAck如何利用 GraphQL 端点:内省、查询、突变和工具。
修复 13 个最常见的 GraphQL 漏洞WunderGraphGraphQL 安全指南,修复 13 个最常见的 GraphQL 漏洞,让您的 API 生产做好准备。
黑客 API – 来自 Bug Bounty 训练营的笔记Aakash Choudhary我在 Bug Bounty Bootcamp 上关于黑客攻击 API 的笔记。
SOAP 安全漏洞和预防NeuraLegionSOAP 安全性、主要漏洞以及如何预防它们。
API 和微服务安全PortSwigger什么是 API 和微服务安全性?
加强您的 API 安全态势42Crunch加强您的 API 安全态势——福特汽车公司。
我们明星的错误Tenchi SecurityAWS API Gateway Lambda 授权方和 IAM 通配符扩展的安全隐患。

播放列表

名称描述
Everything API Hacking来自 Katie Paxton-Fear、@InsiderPhD 和其他创建 API 黑客知识播放列表的人的视频合集!
API hacking来自@theXSSrat 的 API 黑客视频

播客

名称描述
Hacking APIs黑客思维播客:黑客 API
破解您的 API 安全测试21:Troy Hunt:破解您的 API 安全测试。
OWASP API 安全项目Erez Yalon — OWASP API 安全项目
第 38 集 API 安全最佳实践We Hack Purple 播客第 38 集 API 安全最佳实践。

演示文稿、视频

名称描述
渗透测试-rest-apiGaurang Bhatnagar 对 Rest API 进行渗透测试
保护您的 API“你的 API 有多安全?” – 保护您的 API:OWASP API Top 10 2019,案例研究和演示。
api-security-testing-for-hackers针对黑客的 API 安全测试
糟糕的 api-hapi-黑客糟糕的 API,hAPI 黑客!
通过您的 API 披露信息隐藏在普通站点中:通过您的 API 披露信息。
安心滥用 graphqlREST in Peace:滥用 GraphQL 攻击底层基础设施。

项目

名称描述
owasp api安全项目OWASP API 安全项目 – API 安全 Top 10

API安全

名称描述
awesome-security-apis用于安全性的公共 JSON API 的集合列表。

规范

名称描述
API蓝图API蓝图规范
异步API异步 API 规范
开放APIOpenAPI 规范
JSON APIJSON API 规范
GraphQLGraphQL 规范
RAMLRAML规范

工具

名称描述
GraphQL
BatchQLGraphQL 安全审计脚本,专注于执行批处理 GraphQL 查询和变更。
clairvoyance尽管禁用了内省,但仍获取 GraphQL API 模式!
InQLInQL – 用于 GraphQL 安全测试的 Burp 扩展。
GraphQLmapGraphQLmap 是一个脚本引擎,用于与 graphql 端点交互以进行渗透测试。
graphql-path-enum列出在 GraphQL 模式中达到给定类型的不同方式的工具。
graphql-playground用于更好的开发工作流程的 GraphQL IDE(GraphQL 订阅、交互式文档和协作)
graphql-threat-matrix安全专家使用 GraphQL 威胁框架来研究 GraphQL 实施中的安全漏洞。
graphw00fgraphw00f 是 GraphQL 服务器引擎指纹识别实用程序,适用于希望了解更多有关给定 GraphQL 端点背后的技术的软件安全专业人员。
REST API
APICheck用于 REST API 的 DevSecOps 工具集。
APIClarity从实时工作负载流量无缝重建开放 API 规范。
APIFuzzer无需编码即可使用 OpenAPI 或 Swagger API 定义对您的应用程序进行模糊测试。
APIKitAPIKit:发现、扫描和审计 APIs 工具包合二为一。
ArjunHTTP 参数发现套件。
AstraREST API 的自动化安全测试。
Automatic API Attack ToolImperva 的可定制 API 攻击工具将 API 规范作为输入,生成并运行基于它作为输出的攻击。
CATSCATS 是用于 OpenAPI 端点的 REST API 模糊器和负面测试工具。
Cherrybomb使用 CLI 工具停止半成品 API 规范,该工具可帮助您通过验证 API 规范避免未定义的用户行为。
ffuf用 Go 编写的快速网络模糊测试工具。
fuzzapiFuzzapi 是用于 REST API 渗透测试的工具,TnT-Fuzzerd 使用 API_Fuzzer gem。
gotestwafGolang 中的一个开源项目,用于测试不同的 Web 应用程序防火墙 (WAF) 的检测逻辑和绕过
kiterunner上下文内容发现工具。
mitmproxy2swagger通过捕获流量自动对 REST API 进行逆向工程
RESTRESTler 是第一个有状态的 REST API 模糊测试工具,用于通过 REST API 自动测试云服务并查找这些服务中的安全性和可靠性错误。
Swagger-EZ一种使用 OpenAPI 定义对 API 进行渗透测试的工具。
TnT-Fuzzer用 python 编写的 OpenAPI 2.0 (Swagger) 模糊器。对于您的 API,基本上是 TnT。
wadl-dumper将所有可用路径和/或端点转储到 WADL 文件中。
fuzz-lightyear受 pytest 启发的 DAST 框架,能够通过混沌工程测试和有状态的 Swagger 模糊测试识别分布式微服务生态系统中的漏洞。
SOAP
WsdlerBurp 的 WSDL 解析器扩展。
wsdl-wizardWSDL Wizard 是一个用 Python 编写的 Burp Suite 插件,用于检测当前和发现新的 WSDL(Web 服务定义语言)文件。
其他
SoapUISoapUI 是一个免费的开源跨平台 API 和 Web 服务功能测试解决方案。
dredd与语言无关的 HTTP API 测试工具
unfurl提取 stdin 上提供的 URL 位

培训、研讨会、实验室

作者名称描述
Pentester AcademyAPI 安全,REST 实验室Pentester Academy – 攻防
Corey BallAPI安全大学APIsec 大学为应用程序安全专业人员提供培训课程
Grant OngersAPI 前 10 名演练OWASP API Top 10 CTF 演练。
Hacker101GraphQL 挑战GraphQL Week on The Hacker101 夺旗挑战
OWASP-SKFGraphQL 实验室OWASP 安全知识框架上的 GraphQL 实验室
Corey Ball黑客API黑客 API:研讨会
Wesley Thijs让我们构建一个 API 来破解@TheXSSrat 的 API 黑客练习
KontraOWASP API 前 10 名是一系列免费的交互式应用程序安全培训模块,教开发人员如何识别和缓解其 Web API 端点中的安全漏洞。
ShipFast实用 API 安全演练学习实用的移动和 API 安全技术:API 密钥、静态和动态 HMAC、动态证书固定和移动应用证明。
Tushar KulkarnivAPIvAPI 是易受攻击的逆向编程接口,可自我托管的 PHP 接口,以练习的方式模仿 OWASP API 前 10 大场景。

Twitter

作者名称描述
42Crunch@apisecurityioAPI 安全新闻、标准、漏洞、工具。

项目地址:

GitHub:
https://github.com/arainho/awesome-api-security

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用 * 标注