目录导航
awesome-api-security(aka awesome-apisec)存储库是很棒的 API 安全工具和资源的集合。
重点是有利于所有社区的开源工具和资源。
API 密钥:查找和验证
名称 | 描述 |
---|---|
API Guesser | Muhammad Daffa 猜测 API 密钥/OAuth 令牌的简单网站 |
API 密钥泄漏:工具和漏洞利用 | API 密钥是用于验证与您的项目关联的请求的唯一标识符。一些开发人员可能会对它们进行硬编码或将其留在公共共享中。 |
Key-Checker | 用于检查 API 密钥/访问令牌有效性的 Go 脚本。 |
Keyhacks | Keyhacks 是一个存储库,它显示了快速检查漏洞赏金计划泄露的 API 密钥是否有效的方法。 |
私钥使用验证 | Driftwood 是一种可以让您查找私钥是用于 TLS 之类的东西还是用作用户的 GitHub SSH 密钥工具。 |
图书
作者 | 出版商 | 名称 | 描述 |
---|---|---|---|
Emily Freeman | Data Theorem Special Edition | API Security for dummies | 本书是对 API 安全和 DevSecOps 关键概念的高级介绍。 |
Neil Madden | Manning | API Security in Action | API 安全实战教您如何为任何情况创建安全的 API。 |
Dolev Farhi 和 Nick Aleks | No starch press | Black Hat GraphQL | Black Hat GraphQL(预订中)。 |
Corey Ball | No starch press | Hacking APIs | 破坏 Web 应用程序编程接口。 |
Justing Richer 和Antonio Sanso | Manning | Understanding API Security | 多本 Manning 书籍中的几章为您提供了 API 安全性在现实世界中如何工作的一些背景信息。 |
备忘单
名称 | 描述 |
---|---|
GraphQL 备忘单 | GraphQL – OWASP 备忘单系列 |
JSON Web 令牌安全备忘单 | PentesterLab – JSON Web 令牌安全备忘单 |
注入预防备忘单 | 注入 – OWASP 备忘单系列 |
微服务安全备忘单 | 微服务 – OWASP 安全备忘单 |
OWASP API 安全 Top 10 | 42Crunch – OWASP API 安全 Top 10 |
REST 评估备忘单 | REST 评估 – OWASP 备忘单系列 |
REST 安全备忘单 | REST 安全 – OWASP 备忘单系列 |
检查清单
作者 | 名称 | 描述 |
---|---|---|
HolyBugx | another API Security checklist | HolyTips:API 安全清单 |
APIOps Cycles | API 审核清单 | API 审核清单。 |
Shieldfy | API-安全检查表 | 设计、测试和发布 API 时最重要的安全对策清单。 |
API Mike, @api_sec | API渗透测试清单 | 包含在任何 API 渗透测试过程中的常见步骤。 |
Latish Danawale | API 测试清单 | API 测试清单。 |
Inon Shkedy | 31 天的 API 安全提示 | 这个挑战是 Inon Shkedy 的 31 天 API 安全提示。 |
Binary Brotherhood | OAuth2:安全检查表 | OAuth 2.0 威胁模型渗透测试清单 |
Apollo | GraphQL API — GraphQL 安全检查表 | 保护 GraphQL API 的 9 种方法 — GraphQL 安全清单 |
LeapGraph | GraphQL API – 完整的漏洞清单 | 如何保护 GraphQL API – 完整的漏洞清单 |
Lokesh Gupta | REST API 安全基础 | REST API 教程博客条目。 |
会议
名称 | 描述 |
---|---|
API安全 | 世界上第一个专门讨论 API 威胁管理的会议;汇集 API 安全方面的破坏者、防御者和解决方案。 |
故意易受攻击的 API
名称 | 描述 |
---|---|
APISandbox | 基于 Docker-Compose 的预构建易受攻击的多 API 场景环境。 |
Bookstore | TryHackMe room – 具有基本 Web 枚举和 REST API 模糊测试的初学者级别框。 |
crAPI | 完全荒谬的 API (crAPI) |
Damn-Vulnerable-GraphQL-Application | 该死的易受攻击的 GraphQL 应用程序是 Facebook 的 GraphQL 技术的故意易受攻击的实现,以学习和实践 GraphQL 安全性。 |
Damn Vulnerable Micro Services | 这是一个用多种语言编写的易受攻击的微服务,用于演示 OWASP API 最高安全风险(开发中) |
Damn Vulnerable Web Services | 该死的易受攻击的 Web 服务是一种易受攻击的 Web 服务/API/应用程序,我们可以使用它来了解 Web 服务/API 漏洞。 |
Generic-University | 易受攻击的 API 与 Laravel 应用程序 |
node-api-goat | 一个简单的 Express.JS REST API 应用程序,它使用包含漏洞的代码公开端点。 |
Pixi | Pixi 模块是一个 MEAN Stack 网络应用程序,具有极其不安全的 API! |
REST API Goat | 这是一个“山羊”项目,因此您可以熟悉 REST API 测试。 |
VAmPI | 易受攻击的 REST API 和 OWASP API 的前 10 个漏洞 |
vAPI | vAPI 是易受攻击的逆向编程接口,它是通过练习模拟 OWASP API Top 10 场景的自托管 API。 |
vulnapi | 故意非常脆弱的 API,带有额外的不良编码实践。 |
vulnerable-graphql-api | GraphQL API 的一个非常脆弱的实现。 |
Websheep | Websheep 是一个基于易受攻击的 ReSTful API 的应用程序。 |
设计、架构、开发
名称 | 描述 |
---|---|
API 规范工具箱 | 这个工具箱的目标是尝试绘制出所有正在使用的不同 API 规范,以及服务、工具、扩展和其他支持元素。 |
了解 gRPC、OpenAPI 和 REST | gRPC vs REST:了解 gRPC、OpenAPI 和 REST 以及何时在 API 设计中使用它们 |
API 安全设计最佳实践 | 企业和公共云的 API 安全设计最佳实践。 |
REST API 设计指南 | 本设计指南或风格指南包含适用于大多数 REST API 的最佳实践。 |
如何设计 REST API | 如何设计 REST API?- 解决安全性、分页、过滤、版本控制、部分答案、CORS 等问题的完整指南。 |
很棒的REST | 关于 RESTful API 架构、开发、测试和性能的重要资源的协作列表。随时为这个正在进行的列表做出贡献。 |
收集 API 需求 | 使用 APIOps Cycles 为您的 API 收集需求。 |
API审计 | API 审核是一种确保 API 符合 API 设计指南的方法。它还有助于检查可用性、安全性和 API 管理平台兼容性。 |
百科全书、项目、Wiki 和 GitBooks
名称 | 描述 |
---|---|
API 渗透测试书 APIs Pentest Book | six2dez – API 渗透测试书籍 |
API安全帝国 API Security Empire | API安全帝国项目旨在呈现API安全领域独有的攻防手段 |
API 安全百科全书 API Security Encyclopedia | APIsecurity.io – API 安全百科全书 |
Web API Pentesting | HackTricks – Web API 渗透测试 |
GraphQL | 黑客技巧 – GraphQL |
枚举、扫描和探索步骤
名称 | 描述 |
---|---|
Burp API 枚举 | 使用 Burp 枚举 REST API |
ZAP扫描 | 使用 ZAP 扫描 API |
ZAP探索 | 使用 ZAP 探索 API |
w3af扫描 | 使用 w3af 扫描 REST API |
防火墙
名称 | 描述 |
---|---|
Wallarm 免费 API 防火墙 (Wallarm Free API Firewall) | 快速且轻量级的 API 代理防火墙,用于通过 OpenAPI 规范进行请求和响应验证。 |
模糊测试、SecLists、Wordlists 密码字典
名称 | 描述 |
---|---|
API 名称字典 | 用于 Web 应用程序评估的 API 名称词汇表 |
API HTTP 请求方法 | @danielmiessler 的 HTTP 请求方法词表 |
API 路由词汇表 | API 路由 – Assetnote 提供的自动词表 |
通用 API 端点 | 通用 API 端点的词表。 |
fuzz.txt 的文件名 | 潜在的危险文件 |
Fuzzing APIs | “The Fuzzing Book”中的 Fuzzing APIs 章节。 |
GraphQL 安全列表 | 它是在安全评估期间使用的 GraphQL 列表,收集在一个地方。 |
Hacking-APIs | @hapi_hacker 的词汇表和 API 路径 |
Kiterunner Wordlists | Assetnote 提供的 Kiterunner 词汇表 |
API 端点和对象列表 | 专为模糊测试而设计的 3203 个常见 API 端点和对象的列表。 |
Swagger 端点列表 | Swagger 端点 |
API 的 Web 内容发现的 字典表 | 它是安全评估期间使用的 API 的 Web 内容发现列表的集合。 |
HTTP 101
名称 | 描述 |
---|---|
了解您的 HTTP 标头! | HTTP 标头:一个简化而全面的表格。 |
了解您的 HTTP 方法! | HTTP 方法:一个简化而全面的表格。 |
了解您的 HTTP 状态代码! | HTTP 状态代码:一个简化而全面的表格。 |
HTTP 状态码 | httpstatuses.com 是一个易于参考的 HTTP 状态代码数据库,它们的定义和有用的代码参考都集中在一个地方。 |
知道你的 HTTP * Well | HTTP 标头、媒体类型、方法、关系和状态代码,所有这些都汇总并链接到它们的规范。 |
思维导图
作者 | 名称 | 描述 |
---|---|---|
Cypro AB | API 渗透测试 – 攻击 | 思维导图:API Pentesting – ATTACK |
Cypro AB | API 渗透测试 – Recon | 思维导图:API Pentesting – Recon |
Cypro AB | GraphQL 攻击 | 思维导图:GraphQL攻击 |
Mufaddal Masalawala | IDOR技术 | 思维导图:IDOR Techniques |
David Sopas | 思维API | 使用 MindAPI 组织您的 API 安全评估 |
Harsh Bothra | XML 攻击 | 思维导图:XML 攻击 |
Abhay Bhargav | REST API 防御 | 思维导图:REST API防御 |
时事通讯
作者 | 名称 | 描述 |
---|---|---|
42Crunch | api安全篇 | API 安全文章 – 最新的 API 安全新闻、漏洞和最佳实践。 |
其他资源
名称 | 作者 | 描述 |
---|---|---|
API 黑客文章 | Dana Epp | API 黑客基础知识、工具、技术、失败和心态文章。 |
API 安全最佳实践指南 | Expedited Security | API 安全最佳实践 MegaGuide |
API 安全:完整指南 | Bright Security | API 安全,完整指南 |
API渗透测试 | SecureLayer7 | API 渗透测试与 OWASP 2017 测试用例。 |
API渗透测试报告 | UnderDefense | 匿名 API 渗透测试报告 – 供应商示例模板 |
使用 Swagger 文件进行 API 渗透测试 | RhinoSecurityLabs | 使用 Swagger 文件简化 API 渗透测试。 |
API 安全路径资源 | MindAPI | 在 API 安全路径中提供帮助的资源;来自演讲/网络研讨会/视频的各种内容,必须阅读,writeups,bola/idors,oauth,jwt,速率限制,ssrf 和练习条目。 |
API安全测试 | Spherical Defence | API 安全测试的原则以及如何对 API 执行安全测试。 |
查找和利用 Web 应用程序 API | Bend Theory | 在主要 Web 应用程序 API 中查找和利用意外功能 |
如何破解 API 并逍遥法外 | SmartBear | 如何破解 API 并侥幸逃脱(第 1 部分,共 3 部分)。 |
如何在 2021 年破解 API | Detectify | 如何在 2021 年破解 API |
如何使用开源工具在 60 分钟内破解 API | Wallarm | 如何使用开源工具在 60 分钟内破解 API |
GraphQL 渗透测试 | YesWeHAck | 如何利用 GraphQL 端点:内省、查询、突变和工具。 |
修复 13 个最常见的 GraphQL 漏洞 | WunderGraph | GraphQL 安全指南,修复 13 个最常见的 GraphQL 漏洞,让您的 API 生产做好准备。 |
黑客 API – 来自 Bug Bounty 训练营的笔记 | Aakash Choudhary | 我在 Bug Bounty Bootcamp 上关于黑客攻击 API 的笔记。 |
SOAP 安全漏洞和预防 | NeuraLegion | SOAP 安全性、主要漏洞以及如何预防它们。 |
API 和微服务安全 | PortSwigger | 什么是 API 和微服务安全性? |
加强您的 API 安全态势 | 42Crunch | 加强您的 API 安全态势——福特汽车公司。 |
我们明星的错误 | Tenchi Security | AWS API Gateway Lambda 授权方和 IAM 通配符扩展的安全隐患。 |
播放列表
名称 | 描述 |
---|---|
Everything API Hacking | 来自 Katie Paxton-Fear、@InsiderPhD 和其他创建 API 黑客知识播放列表的人的视频合集! |
API hacking | 来自@theXSSrat 的 API 黑客视频 |
播客
名称 | 描述 |
---|---|
Hacking APIs | 黑客思维播客:黑客 API |
破解您的 API 安全测试 | 21:Troy Hunt:破解您的 API 安全测试。 |
OWASP API 安全项目 | Erez Yalon — OWASP API 安全项目 |
第 38 集 API 安全最佳实践 | We Hack Purple 播客第 38 集 API 安全最佳实践。 |
演示文稿、视频
名称 | 描述 |
---|---|
渗透测试-rest-api | Gaurang Bhatnagar 对 Rest API 进行渗透测试 |
保护您的 API | “你的 API 有多安全?” – 保护您的 API:OWASP API Top 10 2019,案例研究和演示。 |
api-security-testing-for-hackers | 针对黑客的 API 安全测试 |
糟糕的 api-hapi-黑客 | 糟糕的 API,hAPI 黑客! |
通过您的 API 披露信息 | 隐藏在普通站点中:通过您的 API 披露信息。 |
安心滥用 graphql | REST in Peace:滥用 GraphQL 攻击底层基础设施。 |
项目
名称 | 描述 |
---|---|
owasp api安全项目 | OWASP API 安全项目 – API 安全 Top 10 |
API安全
名称 | 描述 |
---|---|
awesome-security-apis | 用于安全性的公共 JSON API 的集合列表。 |
规范
工具
名称 | 描述 |
---|---|
GraphQL | |
BatchQL | GraphQL 安全审计脚本,专注于执行批处理 GraphQL 查询和变更。 |
clairvoyance | 尽管禁用了内省,但仍获取 GraphQL API 模式! |
InQL | InQL – 用于 GraphQL 安全测试的 Burp 扩展。 |
GraphQLmap | GraphQLmap 是一个脚本引擎,用于与 graphql 端点交互以进行渗透测试。 |
graphql-path-enum | 列出在 GraphQL 模式中达到给定类型的不同方式的工具。 |
graphql-playground | 用于更好的开发工作流程的 GraphQL IDE(GraphQL 订阅、交互式文档和协作) |
graphql-threat-matrix | 安全专家使用 GraphQL 威胁框架来研究 GraphQL 实施中的安全漏洞。 |
graphw00f | graphw00f 是 GraphQL 服务器引擎指纹识别实用程序,适用于希望了解更多有关给定 GraphQL 端点背后的技术的软件安全专业人员。 |
REST API | |
APICheck | 用于 REST API 的 DevSecOps 工具集。 |
APIClarity | 从实时工作负载流量无缝重建开放 API 规范。 |
APIFuzzer | 无需编码即可使用 OpenAPI 或 Swagger API 定义对您的应用程序进行模糊测试。 |
APIKit | APIKit:发现、扫描和审计 APIs 工具包合二为一。 |
Arjun | HTTP 参数发现套件。 |
Astra | REST API 的自动化安全测试。 |
Automatic API Attack Tool | Imperva 的可定制 API 攻击工具将 API 规范作为输入,生成并运行基于它作为输出的攻击。 |
CATS | CATS 是用于 OpenAPI 端点的 REST API 模糊器和负面测试工具。 |
Cherrybomb | 使用 CLI 工具停止半成品 API 规范,该工具可帮助您通过验证 API 规范避免未定义的用户行为。 |
ffuf | 用 Go 编写的快速网络模糊测试工具。 |
fuzzapi | Fuzzapi 是用于 REST API 渗透测试的工具,TnT-Fuzzerd 使用 API_Fuzzer gem。 |
gotestwaf | Golang 中的一个开源项目,用于测试不同的 Web 应用程序防火墙 (WAF) 的检测逻辑和绕过 |
kiterunner | 上下文内容发现工具。 |
mitmproxy2swagger | 通过捕获流量自动对 REST API 进行逆向工程 |
REST | RESTler 是第一个有状态的 REST API 模糊测试工具,用于通过 REST API 自动测试云服务并查找这些服务中的安全性和可靠性错误。 |
Swagger-EZ | 一种使用 OpenAPI 定义对 API 进行渗透测试的工具。 |
TnT-Fuzzer | 用 python 编写的 OpenAPI 2.0 (Swagger) 模糊器。对于您的 API,基本上是 TnT。 |
wadl-dumper | 将所有可用路径和/或端点转储到 WADL 文件中。 |
fuzz-lightyear | 受 pytest 启发的 DAST 框架,能够通过混沌工程测试和有状态的 Swagger 模糊测试识别分布式微服务生态系统中的漏洞。 |
SOAP | |
Wsdler | Burp 的 WSDL 解析器扩展。 |
wsdl-wizard | WSDL Wizard 是一个用 Python 编写的 Burp Suite 插件,用于检测当前和发现新的 WSDL(Web 服务定义语言)文件。 |
其他 | |
SoapUI | SoapUI 是一个免费的开源跨平台 API 和 Web 服务功能测试解决方案。 |
dredd | 与语言无关的 HTTP API 测试工具 |
unfurl | 提取 stdin 上提供的 URL 位 |
培训、研讨会、实验室
作者 | 名称 | 描述 |
---|---|---|
Pentester Academy | API 安全,REST 实验室 | Pentester Academy – 攻防 |
Corey Ball | API安全大学 | APIsec 大学为应用程序安全专业人员提供培训课程 |
Grant Ongers | API 前 10 名演练 | OWASP API Top 10 CTF 演练。 |
Hacker101 | GraphQL 挑战 | GraphQL Week on The Hacker101 夺旗挑战 |
OWASP-SKF | GraphQL 实验室 | OWASP 安全知识框架上的 GraphQL 实验室 |
Corey Ball | 黑客API | 黑客 API:研讨会 |
Wesley Thijs | 让我们构建一个 API 来破解 | @TheXSSrat 的 API 黑客练习 |
Kontra | OWASP API 前 10 名 | 是一系列免费的交互式应用程序安全培训模块,教开发人员如何识别和缓解其 Web API 端点中的安全漏洞。 |
ShipFast | 实用 API 安全演练 | 学习实用的移动和 API 安全技术:API 密钥、静态和动态 HMAC、动态证书固定和移动应用证明。 |
Tushar Kulkarni | vAPI | vAPI 是易受攻击的逆向编程接口,可自我托管的 PHP 接口,以练习的方式模仿 OWASP API 前 10 大场景。 |
作者 | 名称 | 描述 |
---|---|---|
42Crunch | @apisecurityio | API 安全新闻、标准、漏洞、工具。 |
项目地址:
GitHub:
https://github.com/arainho/awesome-api-security
转载请注明出处及链接