Swagger API自动化利用工具

AutoExploitSwagger 是一款可以跟xray,BurpSuite等扫描器结合的自动化API安全测试利用工具。可以在日常安全检查或者利用Swagger信息泄漏的场景下使用。

  1. 下载

git clone https://github.com/wyzmlr/AutoExploitSwagger.git
  1. 安装

cd AutoExploitSwagger/
pip install -r requirements.txt
python start.py -h
  1. 使用帮助

python start.py -h

Swagger API 自动化扫描工具

optional arguments:
  -h, --help            show this help message and exit
  -u TARGET_URL, --url TARGET_URL
                        swagger api地址
  -i PROXY_IP, --ip PROXY_IP
                        proxy ip
  -p PROXY_PORT, --port PROXY_PORT
                        proxy port
  -f URL_FILE, --file URL_FILE
                        批量测试
                        
  Note:
    -u 参数为必选项
    -t 默认10个线程

功能特性

  • 自定义header

    • 一般用于接口需授权(企业安全测试场景下可获取测试token后测试)
  • 扫描结果汇总

    • 结果和日志路径在settings.py里配置
  • 代理扫描

    • 设置xray或burpsuite代理地址即可自动化扫描
  • 批量检测

    • 导入存在swagger api泄漏的地址(例:
  • 多线程

    • 默认10个,可自定义
  • TODO

Example img_1.png 有什么好的想法欢迎提issue~

GitHub

View Github