NeiveZ/API-Security-Testing-Toolkit
GitHub: NeiveZ/API-Security-Testing-Toolkit
APIX 是一款轻量级 CLI 工具,用于在授权安全评估期间对 API 进行端点发现、认证检查和安全配置审查,并输出结构化报告。
Stars: 0 | Forks: 0
# APIX




## 概述
APIX 可帮助在授权评估期间测试 API。
它侧重于发现和验证而非利用。直接的 CLI 界面取代了旧的交互流程,并为报告提供一致的输出。
## 功能
- Endpoint 模糊测试。
- HTTP method 测试。
- Authentication header 检查。
- JWT 元数据检查。
- CORS 检查。
- JSON 响应分析。
- Rate-limit 观察。
- 清晰的控制台输出。
- JSON/TXT 报告支持。
## 安装
```
git clone https://github.com/NeiveZ/API-Security-Testing-Toolkit.git
cd API-Security-Testing-Toolkit
chmod +x apix.sh
./apix.sh --install
```
验证:
```
./apix.sh --check
```
运行测试(如果可用):
```
python3 -m pytest -q
```
## 用法
```
./apix.sh [options]
```
帮助:
```
./apix.sh --help
```
## 命令
### Endpoint 模糊测试
```
./apix.sh fuzz -u https://api.example.com -w wordlists/api.txt
```
指定 method:
```
./apix.sh fuzz -u https://api.example.com -w wordlists/api.txt --methods GET,POST,PUT,DELETE
```
### Authentication 检查
```
./apix.sh auth -u https://api.example.com/me --token "$TOKEN"
```
### CORS 检查
```
./apix.sh cors -u https://api.example.com
```
### JWT 检查
```
./apix.sh jwt --token "$JWT"
```
### 完整 API 审查
```
./apix.sh full -u https://api.example.com -w wordlists/api.txt --json --txt --out reports/api_review
```
## 推荐流程
1. 确定 base URL:
```
./apix.sh probe -u https://api.example.com
```
2. 模糊测试 endpoint:
```
./apix.sh fuzz -u https://api.example.com -w wordlists/api.txt
```
3. 在发现的 endpoint 上测试 method:
```
./apix.sh methods -u https://api.example.com/users
```
4. 测试 authentication 行为:
```
./apix.sh auth -u https://api.example.com/me --token "$TOKEN"
```
5. 保存证据:
```
./apix.sh full -u https://api.example.com -w wordlists/api.txt --json --txt --out reports/apix
```
## 输出示例
```
APIX Assessment Summary
Target https://api.example.com
Command fuzz
Endpoints 128
Findings 6
Severity Endpoint Check Detail
INFO /health Status 200 OK
LOW /debug Exposure Endpoint exists
MEDIUM /admin Auth 401 without token
```
## 报告
```
--json
--txt
--out
```
示例:
```
./apix.sh full -u https://api.example.com --json --txt --out reports/api
```
## 故障排除
### SSL 问题
```
./apix.sh probe -u https://api.example.com --insecure
```
### 超时
```
./apix.sh fuzz -u https://api.example.com -T 15
```
### 速率限制
使用延迟:
```
./apix.sh fuzz -u https://api.example.com --delay 250
```
## 道德规范
仅对您拥有或被授权测试的 API 使用。
## 许可证
MIT License。
标签:API测试, CISA项目, Cutter, Python, Web安全, 安全测试, 密码管理, 攻击性安全, 文档结构分析, 无后门, 蓝队分析, 逆向工具