Swagger API自动化利用工具
AutoExploitSwagger 是一款可以跟xray,BurpSuite等扫描器结合的自动化API安全测试利用工具。可以在日常安全检查或者利用Swagger信息泄漏的场景下使用。
- 下载
git clone https://github.com/wyzmlr/AutoExploitSwagger.git
- 安装
cd AutoExploitSwagger/
pip install -r requirements.txt
python start.py -h
- 使用帮助
python start.py -h
Swagger API 自动化扫描工具
optional arguments:
-h, --help show this help message and exit
-u TARGET_URL, --url TARGET_URL
swagger api地址
-i PROXY_IP, --ip PROXY_IP
proxy ip
-p PROXY_PORT, --port PROXY_PORT
proxy port
-f URL_FILE, --file URL_FILE
批量测试
Note:
-u 参数为必选项
-t 默认10个线程
功能特性
-
自定义header
- 一般用于接口需授权(企业安全测试场景下可获取测试token后测试)
-
扫描结果汇总
- 结果和日志路径在settings.py里配置
-
代理扫描
- 设置xray或burpsuite代理地址即可自动化扫描
-
批量检测
- 导入存在swagger api泄漏的地址(例:http://x.x.x.x/api/doc,注意格式不要写错)
-
多线程
- 默认10个,可自定义
-
TODO
Example 
有什么好的想法欢迎提issue~
2 Jan 2, 2022
4k Jan 5, 2023
1 Jul 11, 2022
19 Sep 10, 2022
4 Dec 16, 2021
20.4k Jan 4, 2023
502 Dec 30, 2022
56 Dec 23, 2022
909 Dec 15, 2022
1 Nov 16, 2021
1.6k Jan 6, 2023
1.1k Dec 30, 2022
1 Nov 19, 2021
15 Feb 1, 2022
4 Sep 22, 2022
10 Oct 23, 2022
2.1k Jan 1, 2023