arainho/awesome-api-security

# [awesome-apisec](https://github.com/arainho/awesome-apisec)

很棒的 API 安全工具和资源合集。

关于 • API 密钥：查找与验证 • 书籍 • 备忘录 • 清单 • 会议 •
刻意设置的脆弱 API • 设计、架构与开发 • 百科全书、项目、维基和 GitBook •
枚举、扫描与探测步骤 • 防火墙 • 模糊测试、SecLists、字典 • HTTP 101 • 思维导图 •
时事通讯 • 其他资源 • 播放列表 • 播客 • 演讲与视频 • 项目 •
安全 API • 规范 • 工具 • 培训、研讨会与实验 • Twitter •
• 贡献指南 •

## 关于 awesome-api-security（又名 awesome-apisec）仓库是一个很棒的 API 安全工具和资源合集。 本仓库主要关注能造福整个社区的开源工具和资源。 在提交 Pull Request 之前，请先阅读贡献指南部分。 ## API 密钥：查找与验证 | 名称 | 描述 | | ---- | ----------- | | [API Guesser](https://api-guesser.netlify.app/) | 由 Muhammad Daffa 开发的用于猜测 API Key / OAuth Token 的简单网站 | | [API Key Leaks: Tools and exploits](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/API%20Key%20Leaks) | API Key 是用于验证与您的项目相关的请求的唯一标识符。一些开发者可能会将它们硬编码或留在公共共享空间中。 | | [Key-Checker](https://github.com/daffainfo/Key-Checker)| 用于检查 API Key / Access Token 有效性的 Go 脚本。 | | [Keyhacks](https://github.com/streaak/keyhacks)| Keyhacks 是一个仓库，展示了快速验证由漏洞赏金计划泄露的 API Key 是否有效的方法。 | | [Private key usage verification ](https://github.com/trufflesecurity/driftwood) | Driftwood 是一款工具，可以让您查找私钥是否用于 TLS 或作为用户的 GitHub SSH 密钥等事物。 | | [Mantra](https://github.com/MrEmpy/mantra) | 用于在 JS 文件和页面中追踪 API Key 泄露的工具 | ## 书籍 | 作者 | 出版商 | 名称 | 描述 | | ----------- | --------- | -----| ----------- | | Colin Domoney | Packt Publishing | [Defending APIs](https://www.packtpub.com/product/defending-apis/9781804617120) | 旨在帮助开发者开发出安全的 API | | Confidence Staveley | Packt Publishing | [API Security for White Hat Hackers](https://www.packtpub.com/en-us/product/api-security-for-white-hat-hackers-9781800560802) | 揭示攻击性防御策略并掌握安全的 API 实现方式 | | Corey Ball | No Starch Press | [Hacking APIs](https://nostarch.com/hacking-apis)| 攻破 Web 应用程序编程接口。 | | Dolev Farhi 与 Nick Aleks | No Starch Press | [Black Hat GraphQL](https://nostarch.com/black-hat-graphql) | 黑帽 GraphQL。 | | Emily Freeman | Data Theorem 特别版 | [API Security for dummies](https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWJ9kN) | 本书是对 API 安全和 DevSecOps 关键概念的高层次介绍。 | | Justing Richer 与 Antonio Sanso | Manning | [Understanding API Security](https://livebook.manning.com/book/understanding-api-security/introduction/) | 摘自 Manning 出版的几本书中的几个章节，为您提供 API 安全在现实世界中如何运作的背景知识。 | | Neil Madden | Manning | [API Security in Action](https://www.manning.com/books/api-security-in-action)| 《API Security in Action》教您如何为任何场景创建安全的 API。 | | José Haro Peralta | Manning | [Secure APIs: Design, build, and implement](https://www.manning.com/books/secure-apis)| 实用且经过实战检验的技术，用于识别和防止对您的 API 的攻击。 | ## 备忘录 | 名称 | 描述 | | ---- | ----------- | | [GraphQL Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/GraphQL_Cheat_Sheet.html) | GraphQL - OWASP 备忘录系列 | | [JSON Web Token Security Cheat Sheet](https://assets.pentesterlab.com/jwt_security_cheatsheet/jwt_security_cheatsheet.pdf) | PentesterLab - JSON Web Token 安全备忘录 | | [Injection Prevention Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet.html) | 注入 - OWASP 备忘录系列 | [Microservices Security Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Microservices_Security_Cheat_Sheet.html) | 微服务 - OWASP 安全备忘录 | | [OWASP API Security Top 10](https://apisecurity.io/encyclopedia/content/owasp-api-security-top-10-cheat-sheet-a4.pdf) | 42Crunch - OWASP API 安全 Top 10 | | [REST Assessment Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/REST_Assessment_Cheat_Sheet.html) | REST 评估 - OWASP 备忘录系列 | | [REST Security Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/REST_Security_Cheat_Sheet.html) | REST 安全 - OWASP 备忘录系列 | ## 清单 | 作者 | 名称 | 描述 | | ------- | ---- | ------------| | HolyBugx | [another API Security checklist](https://github.com/HolyBugx/HolyTips/blob/main/Checklist/API%20Security.pdf) | HolyTips: API 安全清单 | APIOps Cycles | [API audit checklist](https://www.apiopscycles.com/api-audit-checklist) | API 审计清单。 | | Shieldfy | [API-Security-Checklist](https://github.com/shieldfy/API-Security-Checklist) | 在设计、测试和发布您的 API 时最重要的安全对策清单。 | | API Mike, @api_sec | [API penetration testing checklist](https://apimike.com/api-penetration-testing-checklist) | 包含在任何 API 渗透测试过程中的常见步骤。 | | Latish Danawale | [API Testing Checklist](https://hackanythingfor.blogspot.com/2020/07/api-testing-checklist.html) | API 测试清单。 | | Inon Shkedy | [31 days of API Security Tips](https://github.com/smodnix/31-days-of-API-Security-Tips) | 这项挑战是 Inon Shkedy 的 31 天 API 安全提示。 | | Binary Brotherhood| [OAuth2: Security checklist](https://web.archive.org/web/20210607123429/https://www.binarybrotherhood.io/oauth2_threat_model.html)| OAuth 2.0 威胁模型渗透测试清单 | | Apollo | [GraphQL API — GraphQL Security Checklist](https://www.apollographql.com/blog/graphql/security/9-ways-to-secure-your-graphql-api-security-checklist/) | 保护 GraphQL API 的 9 种方法 — GraphQL 安全清单 | | LeapGraph | [GraphQL API - The Complete Vulnerability Checklist](https://web.archive.org/web/20220701140017/https://leapgraph.com/graphql-api-security/)| 如何保护 GraphQL API - 完整的漏洞清单 | | Lokesh Gupta | [REST API Security Essentials](https://restfulapi.net/security-essentials/) | REST API 教程博客条目。 | ## 会议 | 名称 | 描述 | | --------- | ----------- | | [APIsecure](https://apisecure.co) | 世界上第一个致力于 API 威胁管理的会议；汇集了 API 安全领域的攻击者、防御者和解决方案。 | ## 刻意设置的脆弱 API | 名称 | 作者 | 描述 | | ---- | ------ | ----------- | | [APISandbox](https://github.com/API-Security/APISandbox) | [APISecurity Community](https://github.com/API-Security) | 基于 Docker-Compose 预先构建的脆弱多 API 场景环境。 | | [Bookstore](https://tryhackme.com/room/bookstoreoc) | [sidchn](https://tryhackme.com/p/sidchn) | TryHackMe 房间 - 一个适合初学者的靶机，包含基本的 Web 枚举和 REST API 模糊测试。 | | [crAPI](https://github.com/OWASP/crAPI) | [OWASP](https://github.com/OWASP) | completely ridiculous API (crAPI) | | [Damn Vulnerable GraphQL Application](https://github.com/dolevf/Damn-Vulnerable-GraphQL-Application) | [dolevf](https://github.com/dolevf/) |Damn Vulnerable GraphQL Application 是故意脆弱的 Facebook GraphQL 技术实现，用于学习和实践 GraphQL 安全。 | | [Damn Vulnerable Micro Services](https://github.com/ne0z/DamnVulnerableMicroServices) | [ne0z](https://github.com/ne0z) | 这是一个用多种语言编写的脆弱微服务，用于演示 OWASP API 十大安全风险（开发中）。 | | [Damn Vulnerable RESTaurant API Game](https://github.com/theowni/Damn-Vulnerable-RESTaurant-API-Game) | [theowni](https://github.com/theowni) | Damn Vulnerable Restaurant 是一个故意脆弱的 Web API 游戏，用于供开发者、道德黑客和安全工程师学习和培训。 | | [Damn Vulnerable Web Services](https://github.com/snoopysecurity/dvws-node) | [snoopysecurity](https://github.com/snoopysecurity) |Damn Vulnerable Web Services 是一个脆弱的 Web 服务/API/应用程序，我们可以用它来学习 Web 服务/API 漏洞。 | | [Generic-University](https://github.com/InsiderPhD/Generic-University) | [InsiderPhD](https://github.com/InsiderPhD) | 带有 Laravel 应用的脆弱 API | | [node-api-goat](https://github.com/layro01/node-api-goat) | [layro01](https://github.com/layro01) | 一个简单的 Express.JS REST API 应用程序，其公开的 endpoint 代码中包含漏洞。 | | [Pixi](https://github.com/DevSlop/Pixi) | [DevSlop](https://github.com/DevSlop) | Pixi 模块是一个带有极度不安全 API 的 MEAN 堆栈 Web 应用！ | |[poc-graphql](https://github.com/righettod/poc-graphql) | [righettod](https://github.com/righettod) | 从应用安全 (AppSec) 角度对 GraphQL 进行的研究。 | | [REST API Goat](https://github.com/optiv/rest-api-goat) | [optiv](https://github.com/optiv) | 这是一个“Goat”项目，以便您可以熟悉 REST API 测试。 | | [VAmPI](https://github.com/erev0s/VAmPI)| [erev0s](https://github.com/erev0s) | 带有 OWASP API Top 10 漏洞的脆弱 REST API | | [vAPI](https://github.com/roottusk/vapi)| [roottusk](https://github.com/roottusk) | vAPI 是脆弱的逆向编程接口 (Vulnerable Adversely Programmed Interface)，这是一个可自托管的 API，通过练习模拟 OWASP API Top 10 场景。 | | [vulnapi](https://github.com/tkisason/vulnapi) | [tkisason](https://github.com/tkisason) | 附带糟糕编码实践作为加分项的、极其脆弱的 API。 | | [vulnerable-graphql-api](https://github.com/CarveSystems/vulnerable-graphql-api) | [CarveSystems](https://github.com/CarveSystems) | 一个非常脆弱的 GraphQL API 实现。 | | [Websheep](https://github.com/marmicode/websheep) | [marmicode](https://github.com/marmicode) | Websheep 是一个基于故意脆弱的 ReSTful API 的应用。 | | [VulnerableApp4APISecurity](https://github.com/Erdemstar/VulnerableApp4APISecurity) | [Erdemstar](https://github.com/Erdemstar/) | 该仓库基于 OWASP 2019 API 安全 Top 10 中列出的发现，使用 .NET 7.0 API 技术开发。 | ## 设计、架构与开发 | 名称 | 描述 | | ---- | ----------- | | [The API Specification Toolbox](http://api.specificationtoolbox.com) | 该工具箱的目标是尝试映射出所有正在使用的不同 API 规范，以及服务、工具、扩展和其他支持元素。 | | [Understanding gRPC, OpenAPI and REST](https://cloud.google.com/blog/products/api-management/understanding-grpc-openapi-and-rest-and-when-to-use-them) | gRPC vs REST：理解 gRPC、OpenAPI 和 REST，以及在 API 设计中何时使用它们 | | [API security design best practices](https://habr.com/en/post/595075/) | 面向企业和公有云的 API 安全设计最佳实践。 | | [REST API Design Guide](https://www.apiopscycles.com/resources/rest-api-design-guide) | 本设计指南或样式指南包含适用于大多数 REST API 的最佳实践。 | | [How to design a REST API](https://blog.octo.com/en/design-a-rest-api) | 如何设计 REST API？- 完整指南，涵盖安全性、分页、过滤、版本控制、部分响应、CORS 等。 | [Awesome REST](https://github.com/marmelab/awesome-rest) | 关于 RESTful API 架构、开发、测试和性能的优秀资源协作列表。欢迎为此持续更新的列表做出贡献。 | [Collect API Requirements](https://www.apiopscycles.com/collecting-requirements)| 使用 APIOps Cycles 收集 API 的需求。 | | [API Audit](https://www.apiopscycles.com/method/api-audit) | API 审计是一种确保 API 符合 API 设计指南的方法。它还有助于检查可用性、安全性和 API 管理平台的兼容性。 | ## 百科全书、项目、维基和 GitBook | 作者 | 名称 | 描述 | | -------- | ---- | ----------- | | @six2dez | [APIs Pentest Book]() | API 渗透测试手册 | | @csbygb | [API Pentest tips](https://csbygb.gitbook.io/pentips/web-pentesting/api) | CSbyGB 的渗透技巧 | | cyprosecurity | [API Security Empire](https://github.com/cyprosecurity/API-SecurityEmpire) | API Security Empire 项目旨在展示 API 安全领域中独特的攻击与防御方法 | | @APIsecurity.io | [API Security Encyclopedia](https://apisecurity.io/encyclopedia/content/api-security-encyclopedia.htm) | API 安全百科全书 | | @carlospolop | [Web API Pentesting](https://book.hacktricks.xyz/pentesting/pentesting-web/web-api-pentesting) | HackTricks - Web API 渗透测试 | | @carlospolop | [GraphQL](https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/graphql) | HackTricks - GraphQL | ## 枚举、扫描与探测步骤 | 名称 | 描述 | | ---- | ----------- | | [Burp API enumeration](https://portswigger.net/support/using-burp-to-enumerate-a-rest-api) | 使用 Burp 枚举 REST API | | [ZAP scanning](https://www.zaproxy.org/blog/2017-06-19-scanning-apis-with-zap/) | 使用 ZAP 扫描 API | | [ZAP exploring](https://www.zaproxy.org/blog/2017-04-03-exploring-apis-with-zap/)| 使用 ZAP 探测 API | | [w3af scanning](http://docs.w3af.org/en/latest/scan-rest-apis.html) | 使用 w3af 扫描 REST API | ## 防火墙 | 名称 | 描述 | | ---- | ----------- | | [BunkerWeb](https://github.com/bunkerity/bunkerweb)| 开源且属于新一代的 Web 应用防火墙 (WAF)，集成了 ModSecurity、OWASP 核心规则集、自动机器人拦截、速率限制，并为 Web 服务和 API 提供全面的保护。 | | [Wallarm Free API Firewall](https://github.com/wallarm/api-firewall)| 基于 OpenAPI 规范进行请求和响应验证的快速轻量级 API 代理防火墙。 | ## 模糊测试、SecLists、字典 | 名称 | 描述 | | ---- | ----------- | | [API names wordlist](https://github.com/chrislockard/api_wordlist) | 用于 Web 应用程序评估的 API 名称字典 | | [API HTTP requests methods](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/http-request-methods.txt) | 由 @danielmiessler 提供的 HTTP 请求方法字典 | | [API Routes Wordlists](https://github.com/assetnote/wordlists/blob/master/data/automated.json) | API 路由 - 由 Assetnote 提供的自动化字典 | | [Common API endpoints](https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/common-api-endpoints-mazen160.txt) | 常见 API endpoint 字典。 | | [Filenames by fuzz.txt](https://github.com/Bo0oM/fuzz.txt) | 潜在的危险文件 | | [Fuzzing APIs](https://www.fuzzingbook.org/html/APIFuzzer.html)| “The Fuzzing Book”中的 API 模糊测试章节。 | [GraphQL SecList](https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/graphql.txt) | 这是一个在安全评估期间使用的 GraphQL 列表，已集中收集在一个地方。 | | [Hacking-APIs](https://github.com/hAPI-hacker/Hacking-APIs) | 由 @hapi_hacker 提供的字典和 API 路径 | | [Kiterunner Wordlists](https://github.com/assetnote/wordlists/blob/master/data/kiterunner.json) | 由 Assetnote 提供的 Kiterunner 字典 | | [List of API endpoints & objects](https://gist.github.com/yassineaboukir/8e12adefbd505ef704674ad6ad48743d) | 包含 3203 个专为模糊测试设计的常见 API endpoint 和对象的列表。 | | [List of Swagger endpoints](https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/swagger.txt) | Swagger endpoint | | [SecLists for API's web-content discovery](https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/api) | 这是一个在安全评估期间使用的 API Web 内容发现列表集合。 | | [GraphQL wordlist](https://github.com/Escape-Technologies/graphql-wordlist) | 您将需要的唯一的 GraphQL 字典。操作、字段名、类型名……从超过 6 万个不同的 GraphQL schema 中收集而来。 | ## HTTP 101 | 名称 | 描述 | | ---- | ----------- | |[Know your HTTP Headers!](http://prezo.s3.amazonaws.com/pixi_california_2018/basics/headers.pdf) | HTTP Headers：简明全面的表格。 | |[Know your HTTP Methods!](http://prezo.s3.amazonaws.com/pixi_california_2018/basics/methods.pdf) | HTTP Methods：简明全面的表格。 | |[Know your HTTP Status codes!](http://prezo.s3.amazonaws.com/pixi_california_2018/basics/status-codes.pdf) | HTTP Status codes：简明全面的表格。 | | [HTTP Status Codes](https://httpstatuses.com/) | httpstatuses.com 是一个易于参考的 HTTP 状态码数据库，包含它们的定义和有用的代码参考，全部集中在一处。 | |[Know your HTTP * Well](https://github.com/for-GET/know-your-http-well)| HTTP headers、media-types、methods、relations 和 status codes，全部总结并链接到它们的规范。 | ## 思维导图 | 作者 | 名称 | 描述 | | ------- | ---- | ----------- | | [Abhay Bhargav](https://twitter.com/abhaybhargav)| [REST API defenses](https://mobile.twitter.com/abhaybhargav/status/1373982049019654149/photo/1) | 思维导图：REST API 防御 | | [Cypro AB](https://github.com/cyprosecurity) | [API Pentesting - ATTACK](https://github.com/cyprosecurity/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap%20ATTACK.pdf) | 思维导图：API 渗透测试 - 攻击 | | [Cypro AB](https://github.com/cyprosecurity) | [API Pentesting - Recon](https://github.com/cyprosecurity/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap.pdf) | 思维导图：API 渗透测试 - 侦察 | | [Cypro AB](https://github.com/cyprosecurity) | [GraphQL Attacking](https://github.com/cyprosecurity/API-SecurityEmpire/blob/main/assets/API%20Pentesting%20Mindmap%20%7B%7BGraphQL%20Attacking%7D%7D.pdf) | 思维导图：GraphQL 攻击 | | [David Sopas](https://github.com/dsopas) | [MindAPI](https://dsopas.github.io/MindAPI/play/) | 使用 MindAPI 组织您的 API 安全评估 | [Harsh Bothra](https://github.com/muffyhub) | [XML attacks](https://www.xmind.net/m/xNEY9b/) | 思维导图：XML 攻击 | | [Mosaad Sallam](https://github.com/h0tak88r))| [GraphQL Security Testing](https://github.com/h0tak88r/Sec_Mind_Maps/blob/main/GraphQL%20Security%20Testing.pdf) | 思维导图：GraphQL 安全测试 | | [Mosaad Sallam](https://github.com/h0tak88r))| [OWASP API Top10](https://github.com/h0tak88r/Sec_Mind_Maps/blob/main/OWASP%20API%20TOP%2010.pdf) | 思维导图：OWASP API Top 10 | | [Mufaddal Masalawala](https://github.com/harsh-bothra) | [IDOR Techniques](https://www.xmind.net/m/CSKSWZ/) | 思维导图：IDOR 技术 | ## 时事通讯 | 作者 | 名称 | 描述 | | ------- | ---- | ----------- | | 42Crunch | [api security articles](https://apisecurity.io/#newsletter1) | API 安全文章 - 最新 API 安全新闻、漏洞和最佳实践。 | | Dana Epp | [api hacker’s inner circle](https://apihacker.blog/) | API Hacker 内部圈子的时事通讯。 | ## 其他资源 名称 | 作者 | 描述 | ---- | ------ | ----------- | | [API Hacking Articles](https://danaepp.com/blog)| Dana Epp | API 黑客基础、工具、技术、失败与心态的文章。 | | [API Security best practices guide](https://expeditedsecurity.com/api-security-best-practices-megaguide) | Expedited Security | API 安全最佳实践超级指南 | | [API Security: The Complete Guide](https://brightsec.com/blog/api-security) | Bright Security | API 安全，完整指南 | | [API Penetration Testing](https://blog.securelayer7.net/api-penetration-testing-with-owasp-2017-test-cases) | SecureLayer7 | 使用 OWASP 2017 测试用例进行 API 渗透测试。 | |[API Penetration Testing Report](https://underdefense.com/wp-content/uploads/2019/05/Anonymised-API-Penetration-Testing-Report.pdf) | UnderDefense | 匿名 API 渗透测试报告 - 供应商样本模板 | | [API Pentesting with Swagger Files](https://rhinosecuritylabs.com/application-security/simplifying-api-pentesting-swagger-files/) | RhinoSecurityLabs | 使用 Swagger 文件简化 API 渗透测试。 | | [API security path resources](https://dsopas.github.io/MindAPI/references/) | MindAPI | 帮助您在 API 安全道路上提供帮助的资源；包含来自演讲/网络研讨会/视频、必读、writeup、bola/idors、oauth、jwt、速率限制、ssrf 和练习条目的多样内容。 | | [API Security Testing](https://sphericaldefence.com/api-security-testing) | Spherical Defence | API 安全测试原则以及如何对 API 执行安全测试。 | | [Finding and Exploiting Web App APIs](https://bendtheory.medium.com/finding-and-exploiting-unintended-functionality-in-main-web-app-apis-6eca3ef000af) | Bend Theory | 在主 Web 应用 API 中寻找和利用意外功能 | [How to Hack an API and Get Away with It](https://smartbear.com/blog/test-and-monitor/api-security-testing-how-to-hack-an-api-part-1/)| SmartBear | 如何黑掉 API 并逍遥法外（第 1 部分，共 3 部分）。 | | [How to Hack APIs in 2021](https://labs.detectify.com/2021/08/10/how-to-hack-apis-in-2021) | Detectify | 2021 年如何黑掉 API | | [How to Hack API in 60 minutes with Open Source Tools](https://www.wallarm.com/what/how-to-hack-api-in-60-minutes-with-open-source) | Wallarm | 如何在 60 分钟内使用开源工具黑掉 API | | [GraphQL penetration testing](https://blog.yeswehack.com/yeswerhackers/how-exploit-graphql-endpoint-bug-bounty/) | YesWeHAck | 如何利用 GraphQL endpoint：内省、查询、mutations 和工具。 | | [Fixing the 13 most common GraphQL Vulnerabilities](https://wundergraph.com/blog/the_complete_graphql_security_guide_fixing_the_13_most_common_graphql_vulnerabilities_to_make_your_api_production_ready)| WunderGraph | GraphQL 安全指南，修复 13 个最常见的 GraphQL 漏洞，使您的 API 达到生产就绪状态。 | | [Hacking APIs - Notes from Bug Bounty Bootcamp](https://attacker-codeninja.github.io/2021-08-28-Hacking-APIs-notes-from-bug-bounty-bootcamp/)| Aakash Choudhary | 我在 Bug Bounty 训练营中关于黑客攻击 API 的笔记。 | | [SOAP Security Vulnerabilities and Prevention](https://www.neuralegion.com/blog/top-7-soap-api-vulnerabilities/) | NeuraLegion | SOAP 安全、主要漏洞以及如何预防它们。 | | [API and microservice security](https://portswigger.net/burp/vulnerability-scanner/api-security-testing/guide-to-api-microservice-security) | PortSwigger | 什么是 API 和微服务安全？ | | [Strengthening Your API Security Posture](https://42crunch.com/knowledge-series/strengthening-api-security-posture/) | 42Crunch | 加强您的 API 安全态势 – 福特汽车公司。 | | [The Fault in Our Stars](https://www.tenchisecurity.com/blog/thefaultinourstars) | Tenchi Security | AWS API Gateway Lambda Authorizers 和 IAM 通配符扩展的安全隐患。 | ## 播放列表 | 名称 | 描述 | | ---- | ----------- | | [Everything API Hacking](https://www.youtube.com/playlist?list=PLbyncTkpno5HqX1h2MnV6Qt4wvTb8Mpol) | 来自 Katie Paxton-Fear, @InsiderPhD 和其他人的视频合集，创建了 API 黑客知识播放列表！ | | [API hacking](https://www.youtube.com/c/TheXSSrat/search?query=API%20hacking)| 来自 @theXSSrat 的 API 黑客视频 | ## 播客 | 名称 | 描述 | | ---- | ----------- | | [Hacking APIs](https://forallsecure.com/blog/the-hacker-mind-podcast-hacking-apis) | The Hacker Mind 播客：黑客攻击 API | | [Hack Your API-Security Testing](https://testguild.com/podcast/automation/21-troy-hunt-hack-your-api-security-testing/) | 21：Troy Hunt：黑掉您的 API 安全测试。 | | [The OWASP API Security Project](https://podcast.securityjourney.com/erez-yalon-the-owasp-api-security-project/) | Erez Yalon — OWASP API 安全项目 | | [Episode 38 API Security Best Practices](https://wehackpurple.com/podcast/episode-38-api-security-best-practices/) | We Hack Purple 播客第 38 集 API 安全最佳实践。 | ## 演讲与视频 | 名称 | 描述 | | ---- | ----------- | | [pentesting-rest-apis](https://www.slideshare.net/OWASPdelhi/pentesting-rest-apis-by-gaurang-bhatnagar) | 由 Gaurang Bhatnagar 演示的 Rest API 渗透测试 | | [Securing your APIs](https://owasp.org/www-chapter-singapore/assets/presos/Securing_your_APIs_-_OWASP_API_Top_10_2019,_Real-life_Case.pdf) | “你的 API 有多安全？” - 保护您的 API：OWASP API Top 10 2019，案例研究与演示。 | | [api-security-testing-for-hackers](https://www.bugcrowd.com/resources/webinars/api-security-testing-for-hackers) | 面向黑客的 API 安全测试 | | [bad-api-hapi-hackers](https://www.bugcrowd.com/resources/webinars/bad-api-hapi-hackers)| 坏掉的 API，hAPI 黑客们！ | | [disclosing-information-via-your-apis](https://www.bugcrowd.com/resources/webinars/hidden-in-plain-site-disclosing-information-via-your-apis/) | 隐藏在眼皮底下：通过您的 API 泄露信息。 | | [rest-in-peace-abusing-graphql](https://www.bugcrowd.com/resources/webinars/rest-in-peace-abusing-graphql-to-attack-underlying-infrastructure) | REST 安息：滥用 GraphQL 攻击底层基础设施。 | ## 项目 | 名称 | 描述 | | ---- | ----------- | | [owasp api security project](https://owasp.org/www-project-api-security/) | OWASP API 安全项目 - API 安全 Top 10 | ## 安全 API | 名称 | 描述 | | ---- | ----------- | | [awesome-security-apis](https://github.com/jaegeral/security-apis)| 用于安全用途的公共 JSON API 集合列表。 | ## API 描述规范 | 名称 | 描述 | | ---- | ----------- | | [API Blueprint](https://apiblueprint.org/documentation/specification.html)| API Blueprint 规范 | | [AscyncAPI](https://www.asyncapi.com/docs/specifications/latest) | AsyncAPI 规范 | | [OpenAPI](https://swagger.io/specification/) | OpenAPI 规范 | | [JSON API](https://jsonapi.org/format/) | JSON API 规范 | | [GraphQL](https://spec.graphql.org/) | GraphQL 规范 | | [RAML](https://github.com/raml-org/raml-spec) | RAML 规范 | ## 工具 | 名称 | 描述 | | ---- | ----------- | | | | | **GraphQL** | | [BatchQL](https://github.com/assetnote/batchql) | GraphQL 安全审计脚本，专注于执行批量 GraphQL 查询和 mutations。 | | [clairvoyance](https://github.com/nikitastupin/clairvoyance) | 即使禁用了内省也能获取 GraphQL API schema！ | | [InQL](https://github.com/doyensec/inql) | InQL - 用于 GraphQL 安全测试的 Burp 扩展。 | | [graphinder](https://github.com/Escape-Technologies/graphinder) | 极速 GraphQL endpoint 发现器，使用子域名枚举、脚本分析和暴力破解。 | | [graphql-cop](https://github.com/dolevf/graphql-cop) | GraphQL API 安全审计实用程序。 | | [GraphQL](https://github.com/swisskyrepo/GraphQLmap)| GraphQLmap 是一个脚本引擎，用于与 graphql endpoint 交互以进行渗透测试。 | | [graphql-path-enum](https://gitlab.com/dee-see/graphql-path-enum) | 列出在 GraphQL schema 中到达给定类型的不同路径的工具。 | | [graphql-playground](https://github.com/graphql/graphql-playground) | 用于更好开发工作流程的 GraphQL IDE（GraphQL 订阅、交互式文档和协作） | | [graphql-threat-matrix](https://github.com/nicholasaleks/graphql-threat-matrix) | 安全专业人员用于研究 GraphQL 实现中安全漏洞的 GraphQL 威胁框架。 | | [graphw00f](https://github.com/dolevf/graphw00f) | graphw00f 是一款 GraphQL 服务器引擎指纹识别工具，供软件安全专业人员深入了解特定 GraphQL endpoint 背后的技术。 | | [goctopus](https://github.com/Escape-Technologies/goctopus) | 极速 GraphQL 发现与指纹识别工具箱。 | | [graphql-armor](https://github.com/Escape-Technologies/graphql-armor) | Apollo GraphQL 和 Yoga / Envelop 服务器缺失的 GraphQL 安全层 | | | | | **REST APIs** | | [Akto](https://github.com/akto-api-security/akto) | API 发现、自动化业务逻辑测试和运行时检测 | | [APIClarity](https://github.com/apiclarity/apiclarity) | 从实时工作负载流量中无缝重建 Open API 规范。 | | [APICheck](https://bbva.github.io/apicheck/) | REST API 的 DevSecOps 工具集。 | | [APIKit](https://github.com/API-Security/APIKit) | APIKit：集发现、扫描和审计 API 于一体的工具包。 | | [APIFuzzer](https://github.com/KissPeter/APIFuzzer) | 使用 OpenAPI 或 Swagger API 定义对应用程序进行模糊测试，无需编码。 | | [Arjun](https://github.com/s0md3v/Arjun) | HTTP 参数发现套件。 | | [Astra](https://github.com/flipkart-incubator/Astra) | REST API 的自动化安全测试。 | | [Automatic API Attack Tool](https://github.com/imperva/automatic-api-attack-tool) | Imperva 的可定制 API 攻击工具将 API 规范作为输入，生成并运行基于它的攻击作为输出。 | | [CATS](https://github.com/Endava/cats) | CATS 是一个针对 OpenAPI endpoint 的 REST API 模糊测试和负面测试工具。 | | [CentralMind/Gateway](https://github.com/centralmind/gateway) | 使用基于数据库 schema 和数据的 AI 生成生产就绪的 API，并为 AI-Agent 进行了优化。支持 PostgreSQL、Clickhouse、MySQL、Snowflake、BigQuery。 | | [Cherrybomb](https://github.com/blst-security/cherrybomb) | 通过 CLI 工具阻止半成品的 API 规范，帮助您通过验证 API 规范来避免未定义的用户行为。 | | [fuzz-lightyear](https://github.com/Yelp/fuzz-lightyear) | 一个受 pytest 启发的 DAST 框架，能够通过混沌工程测试和有状态的 Swagger 模糊测试，在分布式微服务生态系统中识别漏洞。 | | [fuzzapi](https://github.com/Fuzzapi/fuzzapi) | Fuzzapi 是一个用于 REST API 渗透测试的工具，并使用 API_Fuzzer gem。 | | [ffuf](https://github.com/ffuf/ffuf) | 用 Go 编写的快速 Web 模糊测试工具。 | | [gotestwaf](https://github.com/wallarm/gotestwaf) | 一个用 Golang 编写的开源项目，用于测试不同 Web 应用防火墙 (WAF) 的检测逻辑和绕过方法 | | [kiterunner](https://github.com/assetnote/kiterunner) | 上下文内容发现工具。 | | [Metlo](https://github.com/metlo-labs/metlo) | 用于发现、盘点、测试和保护您的 API 的开源 API 安全工具。 | | [mitmproxy2swagger](https://github.com/alufers/mitmproxy2swagger) | 通过捕获流量自动逆向工程 REST API | | [OFFAT](https://github.com/OWASP/OFFAT) | OWASP OFFAT 工具可自主评估您的 API 是否存在普遍漏洞，尽管尚未完全兼容 OAS v3。该项目仍在开发中，并正不断完善。 | | [Optic](https://github.com/opticdev/optic) | 使用真实流量验证您的 OpenAPI 3.x 规范的准确性，并自动应用补丁使其保持最新 | | [REST-Attacker](https://github.com/RUB-NDS/REST-Attacker) | 旨在作为测试通用现实世界 REST 实现可行性的概念验证而设计。其目标是为 REST 安全研究提供一个框架。 | | [RESTler](https://github.com/microsoft/restler-fuzzer) | RESTler 是第一个有状态的 REST API 模糊测试工具，用于通过 REST API 自动测试云服务并发现这些服务中的安全性和可靠性错误。 | | [Swagger-EZ](https://github.com/RhinoSecurityLabs/Swagger-EZ) | 一款旨在使用 OpenAPI 定义对 API 进行渗透测试的工具。 | | [TnT-Fuzzer](https://github.com/Teebytes/TnT-Fuzzer) | 用 Python 编写的 OpenAPI 2.0 (Swagger) 模糊测试工具。基本上就是为您 API 准备的炸药。 | | [wadl-dumper](https://github.com/dwisiswant0/wadl-dumper) | 导出 WADL 文件中所有可用的路径和/或 endpoint。 | | [WuppieFuzz](https://github.com/TNO-S3/WuppieFuzz) | WuppieFuzz 是一个基于 LibAFL 开发的覆盖引导的 REST API 模糊测试工具，面向广泛的终端用户，并非常注重易用性、发现缺陷的可解释性和模块化。WuppieFuzz 支持所有三种测试设置（黑盒、灰盒和白盒）。 | | | | | **SOAP** | | [Wsdler](https://github.com/NetSPI/Wsdler)| 用于 Burp 的 WSDL 解析器扩展。 | | [wsdl-wizard](https://github.com/portswigger/wsdl-wizard)| WSDL Wizard 是一个用 Python 编写的 Burp Suite 插件，用于检测现有并发现新的 WSDL (Web Service Definition Language) 文件。 | | | | | **Others**| | [dredd](https://github.com/apiaryio/dredd)| 与语言无关的 HTTP API 测试工具 | | [getallurls (gau)](https://github.com/lc/gau) | 从 AlienVault 的 Open Threat Exchange、Wayback Machine 和 Common Crawl 获取已知 URL。 | | [SoapUI](https://github.com/SmartBear/soapui) | SoapUI 是一个免费开源的跨平台功能测试解决方案，适用于 API 和 Web 服务。 | | [Step CI](https://github.com/stepci/stepci) | 用于 API 质量保证的开源框架，可从 Open API 规范自动化测试 REST、GraphQL 和 gRPC。 | | [unfurl](https://github.com/tomnomnom/unfurl) | 提取标准输入中提供的 URL 的部分信息 | | [noir](https://github.com/hahwul/noir) | Noir 是一个基于源代码的攻击面检测器。 | ## 培训、研讨会与实验 | 作者 | 名称 | 描述 | | ------ | ---- | ----------- | | APIsec | [API Security University](https://university.apisec.ai) | APIsec University 为应用安全专业人员提供培训课程 | | Corey Ball | [Hacking APIs](https://sway.office.com/HVrL2AXUlWGNDHqy) | 黑客攻击 API：研讨会 | | Escape | [API Security Academy](https://escape.tech/academy/) | API 安全学院，由 escape 提供 | | Grant Ongers | [API top 10 walkthrough](https://securedelivery.io/articles/api-top-ten-walkthrough/) | OWASP API Top 10 CTF 攻略。 | | Hacker101 | [GraphQL challenges](https://www.hackerone.com/ethical-hacker/graphql-week-hacker101-capture-flag-challenges) | The Hacker101 夺旗挑战赛上的 GraphQL 之周 | | Karel Husa | [BankGround API](https://bankground.eu) | 用于培训/学习目的的类似银行的 REST 和 GraphQL API。 | | Kontra | [OWASP Top 10 for API](https://application.security/free/owasp-top-10-API) | 是一系列免费交互式应用安全培训模块，教授开发者如何识别和缓解其 Web API endpoint 中的安全漏洞。 | | OWASP-SKF | [GraphQL Labs](https://demo.securityknowledgeframework.org/labs/view) | OWASP 安全知识框架上的 GraphQL 实验室 | | Pentester Academy | [API security, REST Labs](https://attackdefense.pentesteracademy.com/listing?labtype=rest&subtype=rest-api-security) | Pentester Academy - 攻击与防御 | | Semgrep Academy | [API Security Mini Course](https://academy.semgrep.dev/courses/api-security-mini-course) | 在这个简短有趣的微型课程中学习 API 安全基础知识！ | | ShipFast | [Practical API Security Walkthrough](https://github.com/approov/shipfast-api-protection) | 学习实用的移动和 API 安全技术：API Key、静态和动态 HMAC、动态证书锁定以及移动应用证明。 | | Wesley Thijs | [Let's build an API to hack](https://hackxpert.com/blog/API-Hacking-Excercises/) | 由 @TheXSSrat 提供的 API 黑客练习 | ## Twitter | 作者 | 名称 | 描述 | | ---------------- | ---------------------------------------------------- | ----------------------------------------------------- | | 42Crunch | [@apisecurityio](https://twitter.com/apisecurityio) | API 安全新闻、标准、漏洞、工具。 | | Corey J. Ball | [@hAPI_hacker](https://twitter.com/hAPI_hacker) | 网络安全咨询经理 | | Dana Epp | [@ddǝɐuɐp](https://twitter.com/danaepp) | Microsoft 安全 MVP | | David Sopas | [@dsopas](https://twitter.com/dsopas) | 安全研究员 | | Katie Paxton-Fear | [@InsiderPhD](https://twitter.com/InsiderPhD) | 讲师和黑客 | | Wesley Thijs | [@theXSSrat](https://twitter.com/theXSSrat) | 道德黑客 | ## 贡献指南 1. **仓库目的：** 本仓库旨在收集 API 安全工具和资源。优先考虑开源或社区版的工具、Creative Commons 资源，以及由社区创建旨在造福社区的内容。 2. **超出范围：** 涉及特定供应商内容、广告、商业或受限产品、免费试用、免费增值服务、闭源（专有）软件，或要求用户提供私人信息的服务相关的 Pull Request 将被视为超出范围，可能会被关闭或忽略。 3. **商业或供应商包装：** 主要是商业或供应商包装的贡献（例如，产品式捆绑包、安装程序，或主要为促销或“完整产品”定位而包装或重新包装现有工具，而没有实质性的、以社区为中心的新价值的发行版）均不在范围内。 4. **相关性：** 贡献必须与 API 安全、漏洞狩猎、API 加固或 API 黑客攻击直接相关。与这些主题无关的材料可能会被丢弃。 5. **重复与相关性：** 重复的条目或未在现有条目之外增加新相关内容的提交将不予考虑。 6. **超出范围的 PR：** 超出本仓库范围的 Pull Request 可能会在不另行通知的情况下被丢弃、关闭或忽略。 7. **Twitter 板块：** Twitter 板块引用了本仓库中已有的书籍、视频、研讨会、课程、时事通讯或其他内容的作者。虽然这个部分有些主观并且可能引起分歧，但将其包含在内是因为它可能对仓库的一些访问者有所帮助。 8. **内容准确性：** 如果您是工具或内容的作者，并且发现您的描述在任何部分（包括 Twitter 部分）不准确或已过时，请联系我们进行更新。 9. **书籍参考：** “超出范围”规则的唯一例外与书籍有关。某些参考书籍可能需要付费，这在特定情况下是允许的。 如果您认为您的内容符合上述目的，请 - 创建一个新分支 - 修改 README.md - 推送新更改 - 发起一个 Pull Request 有关更多详细信息，请查看 GitHub [quickstart/contributing-to-projects](https://docs.github.com/en/get-started/quickstart/contributing-to-projects)

标签：API安全, API密钥泄露检测, API模糊测试, API漏洞扫描, API防火墙, CISA项目, JSON输出, Python工具, 安全基线, 安全扫描, 安全知识库, 安全资源汇总, 密码管理, 插件系统, 教学环境, 时序注入, 网络安全, 网络安全学习资源, 请求拦截, 防御加固, 隐私保护