当前位置:首页网络安全APIKiller – DAST&API 安全扫描平台

APIKiller – DAST&API 安全扫描平台

安全扫描平台

项目简介

一款高度可定制化的DAST&API Security平台

详细参考: https://aur0ra.cn/3-apikiller/

特征

  • 支持HTTP/HTTPS流量检测
  • 多来源检测
    • 支持流量监听
    • 支持历史流量回扫[目前只支持burpsuite保存流量]
  • 多功能扫描模块
    • 越权检测模块,高效精准,支持多情景检测
      • 具备多角色账号、单角色账号测试能力【单角色账号测试暂不启用,黑盒师傅有想法的可以直接看文档中的介绍,或私下交流】
      • 多维度、特征化判断引擎
    • CSRF检测模块
      • 支持令牌检测
      • 常见的referer、origin检测
    • 【欢迎大家积极提公关】
  • 多功能Filter处理,默认自带多个filter
    • 针对性扫描,例如只对 baidu.com 域名进行扫描
    • 去重扫描,提高效率
    • 自动过滤静态文件(js,gif,jpg,png,css,jpeg,xml,img,svg…)
  • API 运维
    • 提供简易的API Security运维平台
  • 多方式漏洞发现提醒
    • Lark飞书
  • 对抗常见风控手段
    • 频控
  • 【重磅】以上都可以快速进行拓展&二次开发

后期计划

  • 添加基于poc的扫描模块
  • 403bypass module
  • 完善其他通知方式的支持
  • 支持扫描代理功能
  • 提供docker版快速搭建能力
  • 其他

食用宝典

安装好数据库环境(我个人采用的是docker)

  1. docker pull 数据库镜像
 sudo docker run --name mysql-server -e MYSQL_ROOT_PASSWORD=123456 -p 3306:3306  mysql:5.7
  1. 导入apikiller.sql文件
sudo docker cp /tmp/apikiller.sql bteye-mysql:/tmp/apikiller.sql
  1. 登入mysql
docker exec -it mysql-server mysql -uroot -p123456 source /tmp/apikiller.sql

在 config.json 中配置好

APIKiller – DAST&API 安全扫描平台

安装根目录下的https证书[windows环境]

  1. 找到根目录下的ca.crt证书
APIKiller – DAST&API 安全扫描平台
  1. 点击安装即可,将其添加到系统根信任证书颁发位置
APIKiller – DAST&API 安全扫描平台

配置成功后,当发现漏洞时,会立即推送漏洞信息

APIKiller – DAST&API 安全扫描平台

一键启动【所有的配置都在config.json】

APIKiller – DAST&API 安全扫描平台
APIKiller – DAST&API 安全扫描平台
  1. ding~,发现新漏洞,快去看鸭

检测效果展示

这里基于VAPI越权靶场 进行实战模拟 配好环境后,先根据项目鉴权机制,拿两个账号,配置好config.json

APIKiller – DAST&API 安全扫描平台

然后启动项目,访问接口

APIKiller – DAST&API 安全扫描平台
APIKiller – DAST&API 安全扫描平台

成功检测出越权和csrf

APIKiller – DAST&API 安全扫描平台

项目架构

APIKiller – DAST&API 安全扫描平台

API运营平台

APIKiller – DAST&API 安全扫描平台

项目地址

GitHub:https://github.com/Aur0ra-m/APIKiller

温馨提示:

文章标题:APIKiller – DAST&API 安全扫描平台

文章链接:https://www.cutrui.cn/671.html

更新时间:2023年02月18日

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
网络安全黑客工具黑客技术

PyPhisher 包含77个网站模板的钓鱼框架

2023-2-18 11:28:09

网络安全黑客工具黑客技术

3463个默认密码 | 默认凭据备忘单

2023-2-18 11:54:55

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

你有新的私信

请务必要查看您的私信哟~~