ByteNoteByteNote

字节笔记本

2026年2月21日

awesome-api-security:API 安全工具与资源完全指南

API中转
¥120

awesome-api-security 是一个精心整理的 API 安全工具和资源集合,由 arainho 维护。该项目专注于收集开源工具和有益于整个社区的资源,目前已获得 3.6k+ stars。本文将详细介绍该仓库包含的各类资源,帮助开发者和安全研究人员更好地进行 API 安全防护和测试。

项目简介

awesome-api-security(又称 awesome-apisec)是一个 GitHub 上的精选列表,汇集了 API 安全领域的工具、书籍、速查表、检查清单、会议、漏洞 API 练习环境、设计指南、百科资源、枚举扫描工具、防火墙、模糊测试字典、思维导图、新闻通讯、播客、视频演示、API 规范等各类资源。

API 密钥工具

密钥查找与验证

工具名称描述
API Guesser猜测 API 密钥 / OAuth Token 的简单网站
API Key LeaksAPI 密钥泄露工具和利用方法集合
Key-Checker检查 API 密钥/访问令牌有效性的 Go 脚本
Keyhacks快速验证漏洞赏金项目中泄露的 API 密钥是否有效
Driftwood查询私钥是否用于 TLS 或 GitHub SSH 密钥
Mantra在 JS 文件和页面中搜寻 API 密钥泄露的工具

推荐书籍

作者出版社书名描述
Colin DomoneyPackt PublishingDefending APIs帮助开发者构建安全的 API
Confidence StaveleyPackt PublishingAPI Security for White Hat Hackers攻防策略与安全实现
Corey BallNo Starch PressHacking APIs破解 Web 应用程序接口
Dolev Farhi & Nick AleksNo Starch PressBlack Hat GraphQLGraphQL 安全测试
Emily FreemanData TheoremAPI Security for dummiesAPI 安全和 DevSecOps 入门
Neil MaddenManningAPI Security in Action创建安全 API 的实战指南
José Haro PeraltaManningSecure APIs识别和防御 API 攻击的实战技术

安全速查表

安全检查清单

漏洞 API 练习环境

用于学习和练习 API 安全测试的故意设计有漏洞的应用程序:

项目名称作者描述
crAPIOWASP完全荒谬的 API(OWASP 项目)
Damn Vulnerable GraphQL Applicationdolevf故意有漏洞的 GraphQL 实现
VAmPIerev0s包含 OWASP API Top 10 漏洞的 REST API
vAPIroottusk模拟 OWASP API Top 10 场景的练习平台
Damn Vulnerable RESTaurant APItheowni面向开发者的 Web API 安全学习游戏
APISandboxAPISecurity Community基于 Docker-Compose 的多种漏洞 API 场景
PixiDevSlop极度不安全的 MEAN Stack Web 应用

设计与架构资源

百科与知识库

作者名称描述
@six2dezAPIs Pentest BookAPI 渗透测试书籍
@csbygbAPI Pentest tipsCSbyGB 的渗透测试技巧
cyprosecurityAPI Security EmpireAPI 安全攻防方法项目
@APIsecurity.ioAPI Security EncyclopediaAPI 安全百科全书
@carlospolopWeb API PentestingHackTricks - Web API 渗透测试
@carlospolopGraphQLHackTricks - GraphQL 渗透测试

模糊测试与字典

名称描述
API names wordlistWeb 应用评估的 API 名称字典
API Routes WordlistsAssetnote 提供的 API 路由自动字典
Common API endpoints常见 API 端点字典
GraphQL SecListGraphQL 安全评估字典
Hacking-APIs@hapi_hacker 的字典和 API 路径
Kiterunner WordlistsKiterunner 字典
GraphQL wordlist从 60k+ GraphQL 模式收集的操作、字段名、类型名字典

思维导图

作者名称描述
Abhay BhargavREST API defensesREST API 防御思维导图
Cypro ABAPI Pentesting - ATTACKAPI 渗透测试攻击思维导图
Cypro ABAPI Pentesting - ReconAPI 渗透测试侦察思维导图
David SopasMindAPI组织 API 安全评估的思维导图
Mosaad SallamOWASP API Top10OWASP API Top 10 思维导图

安全工具

GraphQL 工具

工具名称描述
BatchQL执行批量 GraphQL 查询和变更的安全审计脚本
clairvoyance在禁用内省的情况下获取 GraphQL API 模式
InQLBurp Suite 的 GraphQL 安全测试扩展
graphinder极速 GraphQL 端点发现工具
graphql-copGraphQL API 安全审计工具
GraphQLmap与 GraphQL 端点交互的脚本引擎
graphql-threat-matrixGraphQL 威胁框架
graphw00fGraphQL 服务器引擎指纹识别工具
goctopus极速 GraphQL 发现和指纹识别工具箱
graphql-armorApollo GraphQL 和 Yoga/Envelop 服务器的安全层

REST API 工具

工具名称描述
AktoAPI 发现、自动化业务逻辑测试和运行时检测
APIClarity从实时工作负载流量重建 OpenAPI 规范
APICheckREST API 的 DevSecOps 工具集
APIKitAPI 发现、扫描和审计一体化工具包
ArjunHTTP 参数发现套件
PostmanAPI 开发协作平台
Burp SuiteWeb 应用安全测试平台

API 规范

规范名称描述
OpenAPIOpenAPI 规范(Swagger)
AsyncAPI异步 API 规范
GraphQLGraphQL 规范
JSON APIJSON API 规范
API BlueprintAPI Blueprint 规范
RAMLRESTful API 建模语言规范

学习资源

新闻通讯

播客

会议

  • APIsecure - 全球首个专注于 API 威胁管理的会议

视频播放列表

项目链接

总结

awesome-api-security 是 API 安全领域最全面的资源集合之一,涵盖了从基础学习到高级渗透测试的各个方面。无论你是开发者、安全工程师还是漏洞赏金猎人,这个仓库都能为你提供宝贵的工具和知识资源。建议收藏并持续关注该项目的更新。

分享: