Skip to content

Commit daeb4d9

Browse files
yuligesecyuligesec
committed
新增Do Target API Scan用法。
1 parent deaab64 commit daeb4d9

5 files changed

+30
-9
lines changed

README.md

+30-9
Original file line numberDiff line numberDiff line change
@@ -22,9 +22,8 @@ APIKit v1.0支持的API技术的指纹有:
2222
- [x] REST-WADL
2323

2424
更多的API指纹正在努力更新~
25-
- [ ] gRPC
26-
- [ ] UPnP
27-
- [ ] 更多主流API技术...
25+
26+
如有新的API技术可以在issue中反馈。
2827

2928

3029

@@ -54,12 +53,38 @@ APIKit v1.0支持的API技术的指纹有:
5453

5554
选择开启Auto Request Sending后,可以对子API进行自动化鉴权测试,快速发现API未授权访问漏洞。
5655
![](./img/req.png)
56+
## Clear history
57+
点击清除所有API文档记录。
58+
5759

5860
# 被动扫描
5961
默认情况下流经BurpSuite的流量都会进行API探测解析和扫描。
6062
# 主动扫描
61-
在任何一个Burpsuite可以右键打开更多选项的页面中,都可以**点击右键**,选择**Do API scan**来发起一次主动扫描。
62-
![](./img/activescan.jpg)
63+
64+
## Do Auto API scan
65+
66+
**Do Auto API scan**可以指定任意一个请求进行API指纹探测。
67+
68+
在任何一个Burpsuite可以右键打开更多选项的页面中,都可以**点击右键**,选择**Do Auto API scan**来发起一次主动扫描,进行API指纹探测。
69+
70+
![](img/16844677709767.jpg)
71+
72+
73+
74+
## Do Target API Scan
75+
76+
77+
**Do Target API scan**可以指定任意API技术、任意BasePath、任意API文档Path、和任意Header进行API请求的生成和探测。
78+
79+
在任何一个Burpsuite可以右键打开更多选项的页面中,都可以**点击右键**,选择**Do Target API scan**来打开选项框。
80+
81+
![](img/16844675891768.jpg)
82+
83+
填写指定任意API技术、任意BasePath、任意API文档Path、和任意Header,再点击Scan进行API请求的生成和探测。
84+
85+
**注意BasePath要以`/`结尾。**
86+
![](img/16844681048595.jpg)
87+
6388

6489

6590
# API漏洞自动扫描
@@ -79,10 +104,6 @@ APIKit v1.0支持的API技术的指纹有:
79104

80105
# TODO
81106
## 更多的API指纹
82-
- Jolokia
83-
- REST-WADL
84-
- gRPC
85-
- UPnP
86107
- 更多主流API技术...
87108
## 更多实用功能
88109
- Fuzz鉴权绕过漏洞

img/16844675891768.jpg

346 KB
Loading

img/16844677254384.jpg

407 KB
Loading

img/16844677709767.jpg

433 KB
Loading

img/16844681048595.jpg

437 KB
Loading

0 commit comments

Comments
 (0)