NeiveZ/API-Security-Testing-Toolkit

GitHub: NeiveZ/API-Security-Testing-Toolkit

APIX 是一款轻量级 CLI 工具,用于在授权安全评估期间对 API 进行端点发现、认证检查和安全配置审查,并输出结构化报告。

Stars: 0 | Forks: 0

# APIX ![Python](https://img.shields.io/badge/Python-3.10+-3776AB?style=flat-square&logo=python&logoColor=white) ![类别](https://img.shields.io/badge/Category-API%20Testing-8b5cf6?style=flat-square) ![界面](https://img.shields.io/badge/Interface-Direct%20CLI-brightgreen?style=flat-square) ![许可证](https://img.shields.io/badge/License-MIT-blue?style=flat-square) ## 概述 APIX 可帮助在授权评估期间测试 API。 它侧重于发现和验证而非利用。直接的 CLI 界面取代了旧的交互流程,并为报告提供一致的输出。 ## 功能 - Endpoint 模糊测试。 - HTTP method 测试。 - Authentication header 检查。 - JWT 元数据检查。 - CORS 检查。 - JSON 响应分析。 - Rate-limit 观察。 - 清晰的控制台输出。 - JSON/TXT 报告支持。 ## 安装 ``` git clone https://github.com/NeiveZ/API-Security-Testing-Toolkit.git cd API-Security-Testing-Toolkit chmod +x apix.sh ./apix.sh --install ``` 验证: ``` ./apix.sh --check ``` 运行测试(如果可用): ``` python3 -m pytest -q ``` ## 用法 ``` ./apix.sh [options] ``` 帮助: ``` ./apix.sh --help ``` ## 命令 ### Endpoint 模糊测试 ``` ./apix.sh fuzz -u https://api.example.com -w wordlists/api.txt ``` 指定 method: ``` ./apix.sh fuzz -u https://api.example.com -w wordlists/api.txt --methods GET,POST,PUT,DELETE ``` ### Authentication 检查 ``` ./apix.sh auth -u https://api.example.com/me --token "$TOKEN" ``` ### CORS 检查 ``` ./apix.sh cors -u https://api.example.com ``` ### JWT 检查 ``` ./apix.sh jwt --token "$JWT" ``` ### 完整 API 审查 ``` ./apix.sh full -u https://api.example.com -w wordlists/api.txt --json --txt --out reports/api_review ``` ## 推荐流程 1. 确定 base URL: ``` ./apix.sh probe -u https://api.example.com ``` 2. 模糊测试 endpoint: ``` ./apix.sh fuzz -u https://api.example.com -w wordlists/api.txt ``` 3. 在发现的 endpoint 上测试 method: ``` ./apix.sh methods -u https://api.example.com/users ``` 4. 测试 authentication 行为: ``` ./apix.sh auth -u https://api.example.com/me --token "$TOKEN" ``` 5. 保存证据: ``` ./apix.sh full -u https://api.example.com -w wordlists/api.txt --json --txt --out reports/apix ``` ## 输出示例 ``` APIX Assessment Summary Target https://api.example.com Command fuzz Endpoints 128 Findings 6 Severity Endpoint Check Detail INFO /health Status 200 OK LOW /debug Exposure Endpoint exists MEDIUM /admin Auth 401 without token ``` ## 报告 ``` --json --txt --out ``` 示例: ``` ./apix.sh full -u https://api.example.com --json --txt --out reports/api ``` ## 故障排除 ### SSL 问题 ``` ./apix.sh probe -u https://api.example.com --insecure ``` ### 超时 ``` ./apix.sh fuzz -u https://api.example.com -T 15 ``` ### 速率限制 使用延迟: ``` ./apix.sh fuzz -u https://api.example.com --delay 250 ``` ## 道德规范 仅对您拥有或被授权测试的 API 使用。 ## 许可证 MIT License。
标签:API测试, CISA项目, Cutter, Python, Web安全, 安全测试, 密码管理, 攻击性安全, 文档结构分析, 无后门, 蓝队分析, 逆向工具