字
字节笔记本
2026年2月21日
awesome-api-security:API 安全工具与资源完全指南
API中转
¥120
awesome-api-security 是一个精心整理的 API 安全工具和资源集合,由 arainho 维护。该项目专注于收集开源工具和有益于整个社区的资源,目前已获得 3.6k+ stars。本文将详细介绍该仓库包含的各类资源,帮助开发者和安全研究人员更好地进行 API 安全防护和测试。
项目简介
awesome-api-security(又称 awesome-apisec)是一个 GitHub 上的精选列表,汇集了 API 安全领域的工具、书籍、速查表、检查清单、会议、漏洞 API 练习环境、设计指南、百科资源、枚举扫描工具、防火墙、模糊测试字典、思维导图、新闻通讯、播客、视频演示、API 规范等各类资源。
API 密钥工具
密钥查找与验证
| 工具名称 | 描述 |
|---|---|
| API Guesser | 猜测 API 密钥 / OAuth Token 的简单网站 |
| API Key Leaks | API 密钥泄露工具和利用方法集合 |
| Key-Checker | 检查 API 密钥/访问令牌有效性的 Go 脚本 |
| Keyhacks | 快速验证漏洞赏金项目中泄露的 API 密钥是否有效 |
| Driftwood | 查询私钥是否用于 TLS 或 GitHub SSH 密钥 |
| Mantra | 在 JS 文件和页面中搜寻 API 密钥泄露的工具 |
推荐书籍
| 作者 | 出版社 | 书名 | 描述 |
|---|---|---|---|
| Colin Domoney | Packt Publishing | Defending APIs | 帮助开发者构建安全的 API |
| Confidence Staveley | Packt Publishing | API Security for White Hat Hackers | 攻防策略与安全实现 |
| Corey Ball | No Starch Press | Hacking APIs | 破解 Web 应用程序接口 |
| Dolev Farhi & Nick Aleks | No Starch Press | Black Hat GraphQL | GraphQL 安全测试 |
| Emily Freeman | Data Theorem | API Security for dummies | API 安全和 DevSecOps 入门 |
| Neil Madden | Manning | API Security in Action | 创建安全 API 的实战指南 |
| José Haro Peralta | Manning | Secure APIs | 识别和防御 API 攻击的实战技术 |
安全速查表
- GraphQL Cheat Sheet - OWASP GraphQL 安全速查表
- JWT Security Cheat Sheet - JSON Web Token 安全速查表
- Injection Prevention Cheat Sheet - 注入防护速查表
- Microservices Security Cheat Sheet - 微服务安全速查表
- OWASP API Security Top 10 - OWASP API 安全 Top 10 速查表
- REST Assessment Cheat Sheet - REST API 评估速查表
- REST Security Cheat Sheet - REST 安全速查表
安全检查清单
- API-Security-Checklist - 设计、测试和发布 API 时的重要安全对策清单
- API penetration testing checklist - API 渗透测试通用步骤
- 31 days of API Security Tips - Inon Shkedy 的 31 天 API 安全挑战
- OAuth2: Security checklist - OAuth 2.0 威胁模型检查清单
- GraphQL Security Checklist - 保护 GraphQL API 的 9 种方法
漏洞 API 练习环境
用于学习和练习 API 安全测试的故意设计有漏洞的应用程序:
| 项目名称 | 作者 | 描述 |
|---|---|---|
| crAPI | OWASP | 完全荒谬的 API(OWASP 项目) |
| Damn Vulnerable GraphQL Application | dolevf | 故意有漏洞的 GraphQL 实现 |
| VAmPI | erev0s | 包含 OWASP API Top 10 漏洞的 REST API |
| vAPI | roottusk | 模拟 OWASP API Top 10 场景的练习平台 |
| Damn Vulnerable RESTaurant API | theowni | 面向开发者的 Web API 安全学习游戏 |
| APISandbox | APISecurity Community | 基于 Docker-Compose 的多种漏洞 API 场景 |
| Pixi | DevSlop | 极度不安全的 MEAN Stack Web 应用 |
设计与架构资源
- The API Specification Toolbox - API 规范工具箱
- Understanding gRPC, OpenAPI and REST - Google Cloud 的 API 设计指南
- API security design best practices - 企业级和公有云 API 安全设计最佳实践
- REST API Design Guide - REST API 设计指南
- Awesome REST - RESTful API 架构、开发、测试和性能资源列表
百科与知识库
| 作者 | 名称 | 描述 |
|---|---|---|
| @six2dez | APIs Pentest Book | API 渗透测试书籍 |
| @csbygb | API Pentest tips | CSbyGB 的渗透测试技巧 |
| cyprosecurity | API Security Empire | API 安全攻防方法项目 |
| @APIsecurity.io | API Security Encyclopedia | API 安全百科全书 |
| @carlospolop | Web API Pentesting | HackTricks - Web API 渗透测试 |
| @carlospolop | GraphQL | HackTricks - GraphQL 渗透测试 |
模糊测试与字典
| 名称 | 描述 |
|---|---|
| API names wordlist | Web 应用评估的 API 名称字典 |
| API Routes Wordlists | Assetnote 提供的 API 路由自动字典 |
| Common API endpoints | 常见 API 端点字典 |
| GraphQL SecList | GraphQL 安全评估字典 |
| Hacking-APIs | @hapi_hacker 的字典和 API 路径 |
| Kiterunner Wordlists | Kiterunner 字典 |
| GraphQL wordlist | 从 60k+ GraphQL 模式收集的操作、字段名、类型名字典 |
思维导图
| 作者 | 名称 | 描述 |
|---|---|---|
| Abhay Bhargav | REST API defenses | REST API 防御思维导图 |
| Cypro AB | API Pentesting - ATTACK | API 渗透测试攻击思维导图 |
| Cypro AB | API Pentesting - Recon | API 渗透测试侦察思维导图 |
| David Sopas | MindAPI | 组织 API 安全评估的思维导图 |
| Mosaad Sallam | OWASP API Top10 | OWASP API Top 10 思维导图 |
安全工具
GraphQL 工具
| 工具名称 | 描述 |
|---|---|
| BatchQL | 执行批量 GraphQL 查询和变更的安全审计脚本 |
| clairvoyance | 在禁用内省的情况下获取 GraphQL API 模式 |
| InQL | Burp Suite 的 GraphQL 安全测试扩展 |
| graphinder | 极速 GraphQL 端点发现工具 |
| graphql-cop | GraphQL API 安全审计工具 |
| GraphQLmap | 与 GraphQL 端点交互的脚本引擎 |
| graphql-threat-matrix | GraphQL 威胁框架 |
| graphw00f | GraphQL 服务器引擎指纹识别工具 |
| goctopus | 极速 GraphQL 发现和指纹识别工具箱 |
| graphql-armor | Apollo GraphQL 和 Yoga/Envelop 服务器的安全层 |
REST API 工具
| 工具名称 | 描述 |
|---|---|
| Akto | API 发现、自动化业务逻辑测试和运行时检测 |
| APIClarity | 从实时工作负载流量重建 OpenAPI 规范 |
| APICheck | REST API 的 DevSecOps 工具集 |
| APIKit | API 发现、扫描和审计一体化工具包 |
| Arjun | HTTP 参数发现套件 |
| Postman | API 开发协作平台 |
| Burp Suite | Web 应用安全测试平台 |
API 规范
| 规范名称 | 描述 |
|---|---|
| OpenAPI | OpenAPI 规范(Swagger) |
| AsyncAPI | 异步 API 规范 |
| GraphQL | GraphQL 规范 |
| JSON API | JSON API 规范 |
| API Blueprint | API Blueprint 规范 |
| RAML | RESTful API 建模语言规范 |
学习资源
新闻通讯
- API Security Articles - 42Crunch 的 API 安全最新资讯
- API Hacker's Inner Circle - Dana Epp 的 API 黑客内圈通讯
播客
- Hacking APIs - The Hacker Mind 播客
- The OWASP API Security Project - Erez Yalon 谈 OWASP API 安全项目
会议
- APIsecure - 全球首个专注于 API 威胁管理的会议
视频播放列表
- Everything API Hacking - Katie Paxton-Fear 等人的 API 黑客知识视频集
项目链接
- GitHub 仓库: https://github.com/arainho/awesome-api-security
- Stars: 3.6k+
- Forks: 593+
- 许可证: GPL-3.0
总结
awesome-api-security 是 API 安全领域最全面的资源集合之一,涵盖了从基础学习到高级渗透测试的各个方面。无论你是开发者、安全工程师还是漏洞赏金猎人,这个仓库都能为你提供宝贵的工具和知识资源。建议收藏并持续关注该项目的更新。
分享: