swaggerHole:针对swaggerHub的公共API安全扫描工具

2024-06-08 399 0

关于swaggerHole

swaggerHole是一款针对swaggerHub的API安全扫描工具,该工具基于纯Python 3开发,可以帮助广大研究人员检索swaggerHub上公共API的相关敏感信息,整个任务过程均以自动化形式实现,且具备多线程特性和管道模式。

工具要求

Python 3

pip3

类Linux操作系统的安装命令如下:

sudo apt install python3
sudo apt install python3-pip

工具安装

pip安装

该项目目前已托管至PyPI,可以直接使用下列命令安装swaggerHole:

pip3 install swaggerhole

源码安装

除此之外,广大研究人员还可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Liodeus/swaggerHole.git

然后切换到项目目录下,运行工具安装脚本即可:

cd swaggerHole

pip3 install .

工具使用

下图所示为swaggerHole的工具帮助和参数选项:

使用命令样例:

swaggerhole [-h] [-s SEARCH] [-o OUT] [-t THREADS] [-j] [-q] [-du] [-de]

参数解析

-h, --help:显示工具帮助信息和退出;

-s SEARCH, --search SEARCH:搜索语句;

-o OUT, --out OUT:设置输出目录;

-t THREADS, --threads THREADS:设置要使用的运行线程数量 (默认为25)

-j, --json:使用JSON格式输出;

-q, --quiet:静默模式,移除Banner;

-du, --deactivate_url:不激活URL过滤功能(会增加假阳性);

-de, --deactivate_email:不激活email过滤功能(会增加假阳性);

工具使用演示

搜索目标域名相关的API敏感信息

swaggerHole -s test.com

echo test.com | swaggerHole

搜索目标域名相关的API敏感信息(输出JSON数据)

swaggerHole -s test.com --json

echo test.com | swaggerHole --json

搜索目标域名相关的API敏感信息(速度提升)

swaggerHole -s test.com -t 100

echo test.com | swaggerHole -t 100

工具输出

常规输出

Finding_Type - Finding - [Swagger_Name][Date_Last_Update][Line:Number]

JSON输出

{"Finding_Type": Finding, "File": File_path, "Date": Date_Last_Update, "Line": Number}

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

swaggerHole:【GitHub传送门

参考资料

https://app.swaggerhub.com/search


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论