优秀的API安全工具和资源的集合
作者:Sec-Labs | 发布时间:
项目介绍
优秀的API安全工具和资源的集合。重点是开放源码的工具和资源,使所有社区受益。
项目地址
https://github.com/arainho/awesome-api-security
关于
awesome-api-security(aka awesome-apisec)存储库是很棒的 API 安全工具和资源的集合。
重点是有利于所有社区的开源工具和资源。
请在打开请求请求之前阅读贡献部分。
API 密钥:查找和验证
| 姓名 | 描述 |
|---|---|
| API 猜测器 | Muhammad Daffa 猜测 API 密钥/OAuth 令牌的简单网站 |
| API 密钥泄漏:工具和漏洞利用 | API 密钥是用于验证与您的项目关联的请求的唯一标识符。一些开发人员可能会对它们进行硬编码或将其留在公共共享中。 |
| 密钥检查器 | 用于检查 API 密钥/访问令牌有效性的 Go 脚本。 |
| 黑客攻击 | Keyhacks 是一个存储库,它显示了快速检查漏洞赏金计划泄露的 API 密钥是否有效的方法。 |
| 私钥使用验证 | Driftwood 是一种工具,可以让您查找私钥是用于 TLS 之类的东西还是用作用户的 GitHub SSH 密钥。 |
图书
| 作者 | 出版商 | 姓名 | 描述 |
|---|---|---|---|
| 艾米莉弗里曼 | 数据定理特别版 | 傻瓜式 API 安全 | 本书是对 API 安全和 DevSecOps 关键概念的高级介绍。 |
| 尼尔马登 | 曼宁 | 行动中的 API 安全 | API 安全实战教您如何为任何情况创建安全的 API。 |
| Dolev Farhi 和 Nick Aleks | 无淀粉压力机 | 黑帽 GraphQL | Black Hat GraphQL(预订中)。 |
| 科里鲍尔 | 无淀粉压力机 | 黑客API | 破坏 Web 应用程序编程接口。 |
| Justing Richer 和安东尼奥·桑索 | 曼宁 | 了解 API 安全 | 多本 Manning 书籍中的几章为您提供了 API 安全性在现实世界中如何工作的一些背景信息。 |
备忘单
| 姓名 | 描述 |
|---|---|
| GraphQL 备忘单 | GraphQL - OWASP 备忘单系列 |
| JSON Web 令牌安全备忘单 | PentesterLab - JSON Web 令牌安全备忘单 |
| 注射预防备忘单 | 注入 - OWASP 备忘单系列 |
| 微服务安全备忘单 | 微服务 - OWASP 安全备忘单 |
| OWASP API 安全 Top 10 | 42Crunch - OWASP API 安全 Top 10 |
| REST 评估备忘单 | REST 评估 - OWASP 备忘单系列 |
| REST 安全备忘单 | REST 安全 - OWASP 备忘单系列 |
检查清单
| 作者 | 姓名 | 描述 |
|---|---|---|
| 圣虫 | 另一个 API 安全清单 | HolyTips:API 安全清单 |
| APIOps 周期 | API 审核清单 | API 审核清单。 |
| 盾飞 | API-安全检查表 | 设计、测试和发布 API 时最重要的安全对策清单。 |
| API 迈克,@api_sec | API渗透测试清单 | 包含在任何 API 渗透测试过程中的常见步骤。 |
| 拉蒂什·达纳瓦勒 | API 测试清单 | API 测试清单。 |
| 伊农史克迪 | 31 天的 API 安全提示 | 这个挑战是 Inon Shkedy 的 31 天 API 安全提示。 |
| 二元兄弟会 | OAuth2:安全检查表 | OAuth 2.0 威胁模型渗透测试清单 |
| 阿波罗 | GraphQL API — GraphQL 安全检查表 | 保护 GraphQL API 的 9 种方法 — GraphQL 安全清单 |
| 跳跃图 | GraphQL API - 完整的漏洞清单 | 如何保护 GraphQL API - 完整的漏洞清单 |
| 洛克什·古普塔 | REST API 安全基础 | REST API 教程博客条目。 |
会议
| 姓名 | 描述 |
|---|---|
| API安全 | 世界上第一个专门讨论 API 威胁管理的会议;汇集 API 安全方面的破坏者、防御者和解决方案。 |
故意易受攻击的 API
| 姓名 | 描述 |
|---|---|
| API沙箱 | 基于 Docker-Compose 的预构建易受攻击的多 API 场景环境。 |
| 书店 | TryHackMe room - 具有基本 Web 枚举和 REST API 模糊测试的初学者级别框。 |
| crAPI | 完全荒谬的 API (crAPI) |
| 该死的易受攻击的 GraphQL 应用程序 | 该死的易受攻击的 GraphQL 应用程序是 Facebook 的 GraphQL 技术的故意易受攻击的实现,以学习和实践 GraphQL 安全性。 |
| 该死的易受攻击的微服务 | 这是一个用多种语言编写的易受攻击的微服务,用于演示 OWASP API 最高安全风险(开发中) |
| 该死的易受攻击的 Web 服务 | 该死的易受攻击的 Web 服务是一种易受攻击的 Web 服务/API/应用程序,我们可以使用它来了解 Web 服务/API 漏洞。 |
| 普通大学 | 易受攻击的 API 与 Laravel 应用程序 |
| node-api-goat | 一个简单的 Express.JS REST API 应用程序,它使用包含漏洞的代码公开端点。 |
| Pixi | Pixi 模块是一个 MEAN Stack 网络应用程序,具有极其不安全的 API! |
| REST API Goat | 这是一个“山羊”项目,因此您可以熟悉 REST API 测试。 |
| VAmPI | 易受攻击的 REST API 和 OWASP API 的前 10 个漏洞 |
| vAPI | vAPI 是易受攻击的逆向编程接口,它是通过练习模拟 OWASP API Top 10 场景的自托管 API。 |
| vulnapi | 故意非常脆弱的 API,带有额外的不良编码实践。 |
| 易受攻击的 graphql-api | GraphQL API 的一个非常脆弱的实现。 |
| Websheep | Websheep 是一个基于易受攻击的 ReSTful API 的应用程序。 |
设计、架构、开发
| 姓名 | 描述 |
|---|---|
| API 规范工具箱 | 这个工具箱的目标是尝试绘制出所有正在使用的不同 API 规范,以及服务、工具、扩展和其他支持元素。 |
| 了解 gRPC、OpenAPI 和 REST | gRPC vs REST:了解 gRPC、OpenAPI 和 REST 以及何时在 API 设计中使用它们 |
| API 安全设计最佳实践 | 企业和公共云的 API 安全设计最佳实践。 |
| REST API 设计指南 | 本设计指南或风格指南包含适用于大多数 REST API 的最佳实践。 |
| 如何设计 REST API | 如何设计 REST API?- 解决安全性、分页、过滤、版本控制、部分答案、CORS 等问题的完整指南。 |
| 很棒的休息 | 关于 RESTful API 架构、开发、测试和性能的重要资源的协作列表。随时为这个正在进行的列表做出贡献。 |
| 收集 API 需求 | 使用 APIOps Cycles 为您的 API 收集需求。 |
| API审计 | API 审核是一种确保 API 符合 API 设计指南的方法。它还有助于检查可用性、安全性和 API 管理平台兼容性。 |
百科全书、项目、Wiki 和 GitBooks
| 姓名 | 描述 |
|---|---|
| API 渗透测试书 | six2dez - API 渗透测试书 |
| API安全帝国 | API安全帝国项目旨在呈现API安全领域独有的攻防手段 |
| API 安全百科全书 | APIsecurity.io - API 安全百科全书 |
| 网络 API 测试 | HackTricks - Web API 渗透测试 |
| GraphQL | 黑客技巧 - GraphQL |
枚举、扫描和探索步骤
| 姓名 | 描述 |
|---|---|
| Burp API 枚举 | 使用 Burp 枚举 REST API |
| ZAP扫描 | 使用 ZAP 扫描 API |
| ZAP探索 | 使用 ZAP 探索 API |
| w3af扫描 | 使用 w3af 扫描 REST API |
防火墙
| 姓名 | 描述 |
|---|---|
| Wallarm 免费 API 防火墙 | 快速且轻量级的 API 代理防火墙,用于通过 OpenAPI 规范进行请求和响应验证。 |
模糊测试、SecLists、Wordlists
| 姓名 | 描述 |
|---|---|
| API 名称字典 | 用于 Web 应用程序评估的 API 名称词汇表 |
| API HTTP 请求方法 | @danielmiessler 的 HTTP 请求方法词表 |
| API 路由词汇表 | API 路由 - Assetnote 提供的自动词表 |
| 通用 API 端点 | 通用 API 端点的词表。 |
| fuzz.txt 的文件名 | 潜在的危险文件 |
| 模糊测试API | “The Fuzzing Book”中的 Fuzzing APIs 章节。 |
| GraphQL 安全列表 | 它是在安全评估期间使用的 GraphQL 列表,收集在一个地方。 |
| 黑客API | @hapi_hacker 的词汇表和 API 路径 |
| Kiterunner字典 | Assetnote 提供的 Kiterunner 词汇表 |
| API 端点和对象列表 | 专为模糊测试而设计的 3203 个常见 API 端点和对象的列表。 |
| Swagger 端点列表 | 招摇端点 |
| API 的 Web 内容发现的 SecLists | 它是安全评估期间使用的 API 的 Web 内容发现列表的集合。 |
HTTP 101
| 姓名 | 描述 |
|---|---|
| 了解您的 HTTP 标头! | HTTP 标头:一个简化而全面的表格。 |
| 了解您的 HTTP 方法! | HTTP 方法:一个简化而全面的表格。 |
| 了解您的 HTTP 状态代码! | HTTP 状态代码:一个简化而全面的表格。 |
| HTTP 状态代码 | httpstatuses.com 是一个易于参考的 HTTP 状态代码数据库,它们的定义和有用的代码参考都集中在一个地方。 |
| 知道你的 HTTP * Well | HTTP 标头、媒体类型、方法、关系和状态代码,所有这些都汇总并链接到它们的规范。 |
思维导图
| 作者 | 姓名 | 描述 |
|---|---|---|
| Cypro AB | API 渗透测试 - 攻击 | 思维导图:API Pentesting - ATTACK |
| Cypro AB | API 渗透测试 - Recon | 思维导图:API Pentesting - Recon |
| Cypro AB | GraphQL 攻击 | 思维导图:GraphQL攻击 |
| Mufaddal Masalawala | IDOR技术 | 思维导图:IDOR Techniques |
| David Sopas | 思维API | 使用 MindAPI 组织您的 API 安全评估 |
| Harsh Bothra | XML 攻击 | 思维导图:XML 攻击 |
| Abhay Bhargav | REST API 防御 | 思维导图:REST API防御 |
时事通讯
| 作者 | 姓名 | 描述 |
|---|---|---|
| 42紧缩 | api安全篇 | API 安全文章 - 最新的 API 安全新闻、漏洞和最佳实践。 |
其他资源
| 姓名 | 作者 | 描述 |
|---|---|---|
| API 黑客文章 | 达娜埃普 | API 黑客基础知识、工具、技术、失败和心态文章。 |
| API 安全最佳实践指南 | 加急安全 | API 安全最佳实践 MegaGuide |
| API 安全:完整指南 | 明亮的安全 | API 安全,完整指南 |
| API渗透测试 | 安全层7 | API 渗透测试与 OWASP 2017 测试用例。 |
| API渗透测试报告 | 防御不足 | 匿名 API 渗透测试报告 - 供应商示例模板 |
| 使用 Swagger 文件进行 API 渗透测试 | 犀牛安全实验室 | 使用 Swagger 文件简化 API 渗透测试。 |
| API 安全路径资源 | 思维API | 在 API 安全路径中提供帮助的资源;来自演讲/网络研讨会/视频的各种内容,必须阅读,writeups,bola/idors,oauth,jwt,速率限制,ssrf 和练习条目。 |
| API安全测试 | 球形防御 | API 安全测试的原则以及如何对 API 执行安全测试。 |
| 查找和利用 Web 应用程序 API | 弯曲理论 | 在主要 Web 应用程序 API 中查找和利用意外功能 |
| 如何破解 API 并逍遥法外 | 聪明熊 | 如何破解 API 并侥幸逃脱(第 1 部分,共 3 部分)。 |
| 如何在 2021 年破解 API | 检测 | 如何在 2021 年破解 API |
| 如何使用开源工具在 60 分钟内破解 API | 沃勒姆 | 如何使用开源工具在 60 分钟内破解 API |
| GraphQL 渗透测试 | 是的我们黑客 | 如何利用 GraphQL 端点:内省、查询、突变和工具。 |
| 修复 13 个最常见的 GraphQL 漏洞 | 奇迹图 | GraphQL 安全指南,修复 13 个最常见的 GraphQL 漏洞,让您的 API 生产做好准备。 |
| 黑客 API - 来自 Bug Bounty 训练营的笔记 | 阿卡什·乔杜里 | 我在 Bug Bounty Bootcamp 上关于黑客攻击 API 的笔记。 |
| SOAP 安全漏洞和预防 | 神经军团 | SOAP 安全性、主要漏洞以及如何预防它们。 |
| API 和微服务安全 | 端口交换器 | 什么是 API 和微服务安全性? |
| 加强您的 API 安全态势 | 42紧缩 | 加强您的 API 安全态势——福特汽车公司。 |
| 我们明星的错误 | 天地保安 | AWS API Gateway Lambda 授权方和 IAM 通配符扩展的安全隐患。 |
播放列表
| 姓名 | 描述 |
|---|---|
| 一切API黑客 | 来自 Katie Paxton-Fear、@InsiderPhD 和其他创建 API 黑客知识播放列表的人的视频合集! |
| API黑客攻击 | 来自@theXSSrat 的 API 黑客视频 |
播客
| 姓名 | 描述 |
|---|---|
| 黑客API | 黑客思维播客:黑客 API |
| 破解您的 API 安全测试 | 21:Troy Hunt:破解您的 API 安全测试。 |
| OWASP API 安全项目 | Erez Yalon — OWASP API 安全项目 |
| 第 38 集 API 安全最佳实践 | We Hack Purple 播客第 38 集 API 安全最佳实践。 |
演示文稿、视频
| 姓名 | 描述 |
|---|---|
| 渗透测试-rest-api | Gaurang Bhatnagar 对 Rest API 进行渗透测试 |
| 保护您的 API | “你的 API 有多安全?” - 保护您的 API:OWASP API Top 10 2019,案例研究和演示。 |
| api-security-testing-for-hackers | 针对黑客的 API 安全测试 |
| 糟糕的 api-hapi-黑客 | 糟糕的 API,hAPI 黑客! |
| 通过您的 API 披露信息 | 隐藏在普通站点中:通过您的 API 披露信息。 |
| 安心滥用 graphql | REST in Peace:滥用 GraphQL 攻击底层基础设施。 |
项目
| 姓名 | 描述 |
|---|---|
| owasp api安全项目 | OWASP API 安全项目 - API 安全 Top 10 |
安全API
| 姓名 | 描述 |
|---|---|
| awesome-security-apis | 用于安全性的公共 JSON API 的集合列表。 |
规格
| 姓名 | 描述 |
|---|---|
| API蓝图 | API蓝图规范 |
| 异步API | 异步 API 规范 |
| 开放API | OpenAPI 规范 |
| JSON API | JSON API 规范 |
| graphQL | GraphQL 规范 |
| 随机存取存储器 | RAML规范 |
工具
| 姓名 | 描述 |
|---|---|
| GraphQL | |
| BatchQL | GraphQL 安全审计脚本,专注于执行批处理 GraphQL 查询和变更。 |
| clairvoyance | 尽管禁用了内省,但仍获取 GraphQL API 模式! |
| InQL | InQL - 用于 GraphQL 安全测试的 Burp 扩展。 |
| GraphQLmap | GraphQLmap 是一个脚本引擎,用于与 graphql 端点交互以进行渗透测试。 |
| graphql-路径枚举 | 列出在 GraphQL 模式中达到给定类型的不同方式的工具。 |
| graphql游乐场 | 用于更好的开发工作流程的 GraphQL IDE(GraphQL 订阅、交互式文档和协作) |
| graphql-威胁矩阵 | 安全专家使用 GraphQL 威胁框架来研究 GraphQL 实施中的安全漏洞。 |
| graphw00f | graphw00f 是 GraphQL 服务器引擎指纹识别实用程序,适用于希望了解更多有关给定 GraphQL 端点背后的技术的软件安全专业人员。 |
| REST API | |
| API检查 | 用于 REST API 的 DevSecOps 工具集。 |
| API清晰度 | 从实时工作负载流量无缝重建开放 API 规范。 |
| API模糊器 | 无需编码即可使用 OpenAPI 或 Swagger API 定义对您的应用程序进行模糊测试。 |
| API套件 | APIKit:Discovery、Scan and Audit APIs Toolkit All in One。 |
| Arjun | HTTP 参数发现套件。 |
| Astra | REST API 的自动化安全测试。 |
| 自动API攻击工具 | Imperva 的可定制 API 攻击工具将 API 规范作为输入,生成并运行基于它作为输出的攻击。 |
| CATS | CATS 是用于 OpenAPI 端点的 REST API 模糊器和负面测试工具。 |
| Cherrybomb | 使用 CLI 工具停止半成品 API 规范,该工具可帮助您通过验证 API 规范避免未定义的用户行为。 |
| ffuf | 用 Go 编写的快速网络模糊器。 |
| fuzzapi | Fuzzapi 是用于 REST API 渗透测试的工具,TnT-Fuzzerd 使用 API_Fuzzer gem。 |
| gotestwaf | Golang 中的一个开源项目,用于测试不同的 Web 应用程序防火墙 (WAF) 的检测逻辑和绕过 |
| kiterunner | 上下文内容发现工具。 |
| mitmproxy2swagger | 通过捕获流量自动对 REST API 进行逆向工程 |
| RESTler | RESTler 是第一个有状态的 REST API 模糊测试工具,用于通过 REST API 自动测试云服务并查找这些服务中的安全性和可靠性错误。 |
| Swagger-EZ | 一种使用 OpenAPI 定义对 API 进行渗透测试的工具。 |
| TnT-Fuzzer | 用 python 编写的 OpenAPI 2.0 (Swagger) 模糊器。对于您的 API,基本上是 TnT。 |
| wadl-dumper | 将所有可用路径和/或端点转储到 WADL 文件中。 |
| fuzz-lightyear | 受 pytest 启发的 DAST 框架,能够通过混沌工程测试和有状态的 Swagger 模糊测试识别分布式微服务生态系统中的漏洞。 |
| SOAP | |
| Wsdler | Burp 的 WSDL 解析器扩展。 |
| wsdl-wizard | WSDL Wizard 是一个用 Python 编写的 Burp Suite 插件,用于检测当前和发现新的 WSDL(Web 服务定义语言)文件。 |
| 其他 | |
| SoapUI | SoapUI 是一个免费的开源跨平台 API 和 Web 服务功能测试解决方案。 |
| dredd | 与语言无关的 HTTP API 测试工具 |
| unfurl | 提取 stdin 上提供的 URL 位 |
| Step CI | API 质量保证的开源框架,它根据开放 API 规范自动测试 REST、GraphQL 和 gRPC。 |
培训、研讨会、实验室
| 作者 | 姓名 | 描述 |
|---|---|---|
| 渗透学院 | API 安全,REST 实验室 | Pentester Academy - 攻防 |
| 科里鲍尔 | API安全大学 | APIsec 大学为应用程序安全专业人员提供培训课程 |
| 格兰特昂格斯 | API 前 10 名演练 | OWASP API Top 10 CTF 演练。 |
| 黑客101 | GraphQL 挑战 | GraphQL Week on The Hacker101 夺旗挑战 |
| OWASP-SKF | GraphQL 实验室 | OWASP 安全知识框架上的 GraphQL 实验室 |
| 科里鲍尔 | 黑客API | 黑客 API:研讨会 |
| 韦斯利泰斯 | 让我们构建一个 API 来破解 | @TheXSSrat 的 API 黑客练习 |
| 反对 | OWASP API 前 10 名 | 是一系列免费的交互式应用程序安全培训模块,教开发人员如何识别和缓解其 Web API 端点中的安全漏洞。 |
| 快船 | 实用 API 安全演练 | 学习实用的移动和 API 安全技术:API 密钥、静态和动态 HMAC、动态证书固定和移动应用证明。 |
| 图沙尔·库尔卡尼 | 虚拟API | vAPI 是易受攻击的逆向编程接口,可自我托管的 PHP 接口,以练习的方式模仿 OWASP API 前 10 大场景。 |
推特
| 作者 | 姓名 | 描述 |
|---|---|---|
| 42Crunch | @apisecurityio | API 安全新闻、标准、漏洞、工具。 |
投稿
-
此存储库的目的是收集 API 安全工具和资源。优先选择开源或社区版本工具、知识共享资源以及社区为社区利益而创建的资源。例外是本书的主题,其中一些参考项目可能有相关成本。
-
其他特定于供应商的内容、广告、商业、受限、免费试用、免费增值、封闭源(专有软件)、为换取私人用户详细信息而提供的产品或服务被视为超出范围的拉取请求。
-
与 API 安全、寻找 API 中的错误、强化或黑客攻击 API 没有直接关系的内容或材料也可能会被丢弃。
-
与现有条目相比未提供额外或相关内容的重复内容或条目也可能不会被考虑。
-
超出范围的拉取请求可能会被丢弃、关闭或忽略,恕不另行通知。
如果您认为您的内容符合上述目的,请
- 创建一个新分支
- 更改 README.md
- 推动新变化
- 打开拉取请求
有关详细信息,请查看 GitHub quickstart/contributing-to-projects
标签:工具分享, 学习笔记, API安全