AutoExploitSwagger 是一款可以跟xray,BurpSuite等扫描器结合的自动化API安全测试利用工具。可以在日常安全检查或者利用Swagger信息泄漏的场景下使用。
- 下载
git clone https://github.com/wyzmlr/AutoExploitSwagger.git- 安装
cd AutoExploitSwagger/
pip install -r requirements.txt
python start.py -h- 使用帮助
python start.py -h
Swagger API 自动化扫描工具
optional arguments:
-h, --help show this help message and exit
-u TARGET_URL, --url TARGET_URL
swagger api地址
-i PROXY_IP, --ip PROXY_IP
proxy ip
-p PROXY_PORT, --port PROXY_PORT
proxy port
-f URL_FILE, --file URL_FILE
批量测试
Note:
-u 参数为必选项
-t 默认10个线程
-
自定义header
- 一般用于接口需授权(企业安全测试场景下可获取测试token后测试)
-
扫描结果汇总
- 结果和日志路径在settings.py里配置
-
代理扫描
- 设置xray或burpsuite代理地址即可自动化扫描
-
批量检测
- 导入存在swagger api泄漏的地址(例:http://x.x.x.x/api/doc,注意格式不要写错)
地址为swagger-resources地址:
- 导入存在swagger api泄漏的地址(例:http://x.x.x.x/api/doc,注意格式不要写错)
地址为swagger-resources地址:
-
多线程
- 默认10个,可自定义
-
TODO
- 修复获取到的参数有问题的bug
Example
有什么好的想法欢迎提issue~