MoisesTapia/apileaks

GitHub: MoisesTapia/apileaks

APILeak 是一款企业级 API 模糊测试工具,全面覆盖 OWASP API Security Top 10 2023,帮助安全团队自动化发现 API 安全漏洞。

Stars: 0 | Forks: 0

# APILeak v0.1.0 [Beta][DEVELOPMENT]
APILeak Logo
## APILeak v0.1.0 - 企业级 API 模糊测试工具 - 作者:Cl0wnR3v **全面覆盖 OWASP API Security Top 10 2023 的企业级 API 安全测试工具。** [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![Python 3.11+](https://img.shields.io/badge/python-3.11+-blue.svg)](https://www.python.org/downloads/) [![Tests](https://github.com/your-org/apileak/workflows/Tests/badge.svg)](https://github.com/your-org/apileak/actions) [![Coverage](https://codecov.io/gh/your-org/apileak/branch/main/graph/badge.svg)](https://codecov.io/gh/your-org/apileak) ## 🚀 快速开始 ``` # 克隆和设置 git clone https://github.com/your-org/apileak.git cd apileak make setup-dev # 激活环境 source venv/bin/activate # Linux/macOS # venv\Scripts\activate # Windows # 运行你的第一次扫描 python apileaks.py --config config/sample_config.yaml --target https://api.example.com ``` ### 基础使用示例 ``` # 目录 fuzzing python apileaks.py dir --target https://api.example.com # 带分诊的目录 fuzzing:按状态类过滤,保存会话,导出 Markdown python apileaks.py dir --target https://api.example.com \ --status-code 2xx --save-session session.json --export md --export-file results.md # 重新加载已保存的会话并交互式分诊(可选提示) python apileaks.py dir --target https://api.example.com \ --load-session session.json --interactive # 参数 fuzzing python apileaks.py par --target https://api.example.com # 全面安全扫描 python apileaks.py full --target https://api.example.com # 启用 WAF evasion python apileaks.py full --target https://api.example.com --user-agent-random # 启用 OWASP modules python apileaks.py full --target https://api.example.com --modules bola,auth,property ``` 如需查看更多详细的使用示例,请参阅[使用示例](docs/usage-examples.md)文档。 ## ✨ 主要特性 - **🛡️ OWASP API Security Top 10 2023**:完全覆盖全部 10 个类别 - **🎯 高级模糊测试**:具备智能发现功能的端点、参数和标头模糊测试 - **🔍 框架检测**:自动识别 API 框架(FastAPI、Express、Django、Flask 等) - **📊 版本模糊测试**:发现并比对 API 版本(/v1、/v2、/api/v1 等) - **🌈 彩色 HTTP 输出**:为所有 HTTP 请求提供实时彩色状态指示 - **🥷 WAF 绕过**:多种 user agent 策略,用于绕过 Web Application Firewalls - **🔍 基于属性的测试**:使用 Hypothesis 进行全面的准确性验证 - **📊 智能分析**:自动进行严重程度分类和 OWASP 归类 - **📈 实时报告**:支持多种格式的报告(XML、JSON、HTML、TXT) - **⚡ 高性能**:带有自适应速率限制的异步 HTTP 客户端 - **🐳 容器化支持**:支持 Docker,便于集成至 CI/CD - **🔧 企业级标准**:提供结构化日志、配置管理和监控功能 ## 🔍 高级发现功能 ### 框架检测 APILeak 会自动检测 API 框架,并相应地调整测试策略: ### API 版本发现 全面的 API 版本映射与安全分析: - **版本模式**:`/v1`、`/v2`、`/api/v1`、`/api/v2`、`/version1` 等 - **状态检测**:活跃、已弃用、开发中版本 - **端点比对**:识别各版本之间的差异 - **安全分析**:查找特定版本存在的漏洞 ``` # 启用框架检测 python apileaks.py full --target https://api.example.com --detect-framework # 启用版本 fuzzing python apileaks.py full --target https://api.example.com --fuzz-versions # 组合高级发现 python apileaks.py full --target https://api.example.com --df --fv --framework-confidence 0.8 ``` ## 📖 文档 - **[📚 完整文档](docs/README.md)** - 完整的文档索引 - **[🚀 安装指南](docs/installation.md)** - 适用于各平台的配置说明 - **[⚙️ 配置指南](docs/configuration.md)** - 全面的配置选项 - **[💻 CLI 参考](docs/cli-reference.md)** - 命令行界面文档 - **[🧪 测试指南](docs/testing.md)** - 测试策略与准则 - **[🏗️ 架构说明](docs/architecture.md)** - 系统设计与架构概述 - **[🛠️ 开发指南](docs/development.md)** - 开发环境配置与贡献指南 - **[🌈 彩色 HTTP 输出](docs/colored-http-output.md)** - HTTP 输出可视化与过滤 - **[🚀 CI/CD 集成](docs/ci-cd-integration.md)** - DevSecOps pipeline 集成指南 - **[🎯 使用示例](docs/usage-examples.md)** - 全面的使用示例与场景 - **[🥷 WAF 绕过](docs/waf-evasion.md)** - Web Application Firewall 绕过技术 - **[🐳 Docker 使用](docs/docker-usage.md)** - 基于容器的部署与使用 - **[🛡️ OWASP 覆盖范围](docs/owasp-coverage.md)** - OWASP API Security Top 10 2023 覆盖情况 ### OWASP 模块 - **[🛡️ OWASP 概览](docs/owasp/README.md)** - 完整的 OWASP API Security 覆盖范围 - **[🔐 BOLA 测试](docs/owasp/bola-testing.md)** - Broken Object Level Authorization - **[🔑 认证测试](docs/owasp/auth-testing.md)** - 身份验证漏洞检测 - **[📋 属性认证](docs/owasp/property-level-auth.md)** - 属性级授权测试 ## 📊 示例输出 ``` ================================================== APILeak Scan Completed Successfully ================================================== Target: https://api.example.com 🎨 Status Code Filter: [200, 401, 403] 🎭 WAF Evasion: Random User-Agent enabled Duration: 0:02:34 Total Endpoints Tested: 1,247 📍 Endpoints Found: - GET https://api.example.com/admin (200) - POST https://api.example.com/users (201) - GET https://api.example.com/debug (200) Total Findings: 8 Critical: 2 | High: 3 | Medium: 2 | Low: 1 OWASP Coverage: 70.0% (7/10 categories) Reports generated: - reports/security_scan.json - reports/security_scan.html - reports/security_scan.xml - reports/security_scan.txt ``` ### 快速贡献步骤 1. Fork 该仓库 2. 创建一个功能分支:`git checkout -b feature/amazing-feature` 3. 进行代码修改并添加测试 4. 运行测试:`make test` 5. 提交 pull request ## 📄 许可证 本项目基于 MIT License 授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 🔒 安全 有关安全漏洞,请参阅我们的[安全政策](SECURITY.md)。 ## 🙏 致谢 - [OWASP API Security Project](https://owasp.org/www-project-api-security/) 提供了全面的安全框架 - Python 安全社区提供的工具与最佳实践 - 所有帮助改进 APILeak 的贡献者 **专为 API 安全专业人士用 ❤️ 打造**
标签:API安全, JSON输出, Python, WAF绕过, 安全测试, 密码管理, 攻击性安全, 无后门, 计算机取证, 请求拦截, 逆向工具