后台回复api即可获取

往期推荐：

APIKit：发现、扫描和审计API工具包集于一身

源地址：

https://github.com/API-Security/APIKithttps://github.com/XF-FS/APIKit

• APIKit是APISecurity社区发布的第一个开源项目。
• APIKit是基于BurpSuite提供的JavaAPI开发的插件。
• APIKit可以主动/被动扫描发现应用泄露的API文档，并将API文档解析成BurpSuite中的数据包用于API安全测试。

效果预览

Scanner Enabled(启动扫描器)

开启扫描

Send with Cookie(使用Cookie发送)

开启Cookie，可以把响应包的Cookie存下来，生成请求的时候保留Cookie。

Auto Request Sending(自动请求发送)

注意开启API请求后。你需要明确以下几点：

• 本工具仅面向合法授权的企业安全建设行为，如您需要测试本工具的可用性，请自行搭建靶机环境。
• 在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行请求。
• 如您在使用本工具的过程中存在任何非法行为或造成其他损失，您需自行承担相应后果，我们将不承担任何法律及连带责任。
• 在安装并使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。 除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。

API技术指纹支持

APIKit支持的API技术的指纹有：

• GraphQL
• OpenAPI-Swagger
• SpringbootActuator
• SOAP-WSDL
• REST-WADL

安装教程

打开burp suite，找到如下位置

选择下载的文件，此文件

如下即加载成功

默认情况下均不开启

使用细节

Clear history

点击清除所有API文档记录。

被动扫描

默认情况下流经BurpSuite的流量都会进行API探测解析和扫描。

主动扫描

• Do Auto API scan

  右键即可

• Do Target API scan：可以指定任意一个请求进行API指纹探测。

  右键即可

  填写指定任意API技术、任意BasePath、任意API文档Path、和任意Header，再点击Scan进行API请求的生成和探测。

  注意BasePath要以/结尾。

与xray联动

所有与BurpSuite联动的工具均可联动APIKit。比如xray。

./xray_darwin_amd64 webscan --listen 127.0.0.1:7777  --html-output APIKit.html

更多实用功能

• Fuzz鉴权绕过漏洞
• 检测请求返回包中敏感信息
• 发现js中泄露的API
• 常见数据解析依赖库识别，比如Fastjson等