APIKiller--一款甲方掃描【神】器

Aur0ra*發表於2023-02-19

APIKiller -- 一款漏洞掃描(神)器

Github專案直通車:APIKiller API Security Tool
原文參考:https://aur0ra.cn/3-apikiller/

專案背景

去年有幸進入位元組無恆實驗室實習,並負責抖音的安全SDLC工作,在期間挖的眾多漏洞中發現很多問題都是IDOR這類的越權問題,當時想的就是能不能自動化識別啥的,畢竟一直這樣也挺低效的(其實位元組是有IDOR相關的DAST工具,只是有些沒覆蓋到),所以專案名稱原本叫IDORKiller。但是最近寫著寫著,想著索性做成工程化的工具,於是在原有的基礎上,進行整體結構上的最佳化,時期能夠保證高效、易擴充的特性,於是就有了現在的APIKiller專案。

專案介紹

image

Feature

  • 支援HTTP/HTTPS流量檢測
  • 多來源檢測
    • 支援流量監聽
    • 支援歷史流量回掃
  • 多功能掃描模組
    • 越權檢測模組,高效精準,支援多情景檢測
      • 具備多角色賬號、單角色賬號測試能力【單角色賬號測試暫不啟用,黑盒師傅有想法的可以直接看文件中的介紹,或私下交流】
      • 多維度、特徵化判斷引擎
    • csrf檢測模組
      • 支援token檢測
      • 常見的referer、origin檢測
    • 【歡迎大家一起來開發新的模組】
  • 多功能Filter處理,預設自帶多個filter
    • 針對性掃描,例如只對 baidu.com域名進行掃描
    • 去重掃描,提高效率
    • 自動過濾靜態檔案(js,gif,jpg,png,css,jpeg,xml,img,svg...)
  • API 運維
    • 提供簡易的API Security運維平臺
  • 多方式漏洞發現提醒
    • Lark飛書
    • ...
  • 對抗常見風控手段
    • 頻控

由於多處核心元件採用了抽象的方式,所以可以給有需要的使用者進行快速的二次開發(二次開發的文件,後續將會補齊)

越權檢測模組

越權檢測既定分為三個子模組:未授權檢測模組、單角色檢測模組、多角色檢測模組;但單角色檢測模組和未授權檢測模組存在較大最佳化空間,所以當前採用簡易模式,僅能夠適用於甲方日常,如果想用去掃描,則可以手動開啟,或加以改造
image

  • 越權判斷引擎
    image

  • 未授權檢測模組
    image

  • 單角色檢測模組
    image

  • 多角色檢測模組
    image

CSRF檢測模組

image

API運營平臺

image

後期計劃

相關文章