APIKiller -- 一款漏洞掃描(神)器
Github專案直通車:APIKiller API Security Tool
原文參考:https://aur0ra.cn/3-apikiller/
專案背景
去年有幸進入位元組無恆實驗室實習,並負責抖音的安全SDLC工作,在期間挖的眾多漏洞中發現很多問題都是IDOR這類的越權問題,當時想的就是能不能自動化識別啥的,畢竟一直這樣也挺低效的(其實位元組是有IDOR相關的DAST工具,只是有些沒覆蓋到),所以專案名稱原本叫IDORKiller。但是最近寫著寫著,想著索性做成工程化的工具,於是在原有的基礎上,進行整體結構上的最佳化,時期能夠保證高效、易擴充的特性,於是就有了現在的APIKiller專案。
專案介紹
Feature
- 支援HTTP/HTTPS流量檢測
- 多來源檢測
- 支援流量監聽
- 支援歷史流量回掃
- 多功能掃描模組
- 越權檢測模組,高效精準,支援多情景檢測
- 具備多角色賬號、單角色賬號測試能力【單角色賬號測試暫不啟用,黑盒師傅有想法的可以直接看文件中的介紹,或私下交流】
- 多維度、特徵化判斷引擎
- csrf檢測模組
- 支援token檢測
- 常見的referer、origin檢測
- 【歡迎大家一起來開發新的模組】
- 越權檢測模組,高效精準,支援多情景檢測
- 多功能Filter處理,預設自帶多個filter
- 針對性掃描,例如只對 baidu.com域名進行掃描
- 去重掃描,提高效率
- 自動過濾靜態檔案(js,gif,jpg,png,css,jpeg,xml,img,svg...)
- API 運維
- 提供簡易的API Security運維平臺
- 多方式漏洞發現提醒
- Lark飛書
- ...
- 對抗常見風控手段
- 頻控
由於多處核心元件採用了抽象的方式,所以可以給有需要的使用者進行快速的二次開發(二次開發的文件,後續將會補齊)
越權檢測模組
越權檢測既定分為三個子模組:未授權檢測模組、單角色檢測模組、多角色檢測模組;但單角色檢測模組和未授權檢測模組存在較大最佳化空間,所以當前採用簡易模式,僅能夠適用於甲方日常,如果想用去掃描,則可以手動開啟,或加以改造
-
越權判斷引擎
-
未授權檢測模組
-
單角色檢測模組
-
多角色檢測模組