API安全APIKit安装使用

1.安装与使用

https://github.com/API-Security/APIKit

APIKit是基于BurpSuite提供的JavaAPI开发的插件。

APIKit可以主动/被动扫描发现应用泄露的API文档，并将API文档解析成BurpSuite中的数据包用于API安全测试。

使用:

https://github.com/API-Security/APIKit/releases/tag/release

直接下载编译好的jar包导入burp就好，下载之后，加到burp上就可以了

然后工具下载好之后与此对应的有一个api的apisandbox项目用于测试api漏洞

https://github.com/API-Security/APISandbox

APISandbox是一个包含多个场景的API漏洞靶场。

APISandbox：

推荐使用ubuntu环境

安装pip和docker

#安装docker
sudo apt-get update
sudo apt-get install -y docker.io
#安装pip3
sudo apt install python3-pip
#启动docker命令
sudo service docker start
# 安装compose
pip3 install docker-compose

参考：https://www.linuxidc.com/Linux/2018-05/152390.htm

安装的时候应该是我的ubuntu环境问题会有个报错

E: Could not get lock /var/lib/dpkg/lock-frontend - open (11: Resource temporarly unavailable)

删除锁定文件，行了

sudo rm /var/lib/dpkg/lock-frontend

sudo rm /var/lib/dpkg/lock

然后重新打开命令行执行

输入docker、pip3发现命令可以运行就安装成功了

2.API漏洞靶场测试工具

#下载项目
wget https://github.com/API-Security/APISandbox/archive/refs/heads/main.zip -O APISandbox-main.zip
unzip APISandbox-main.zip
cd APISandbox-main

# 进入某一个漏洞/环境的目录
cd OWASPApiTop10/docker

# 自动化编译环境
docker-compose build

# 启动整个环境
docker-compose up -d
Creating network "docker_default" with the default driver
Creating owaspapitop10 ... 
Creating owaspapitop10 ... done

# 测试完删除整个环境
docker-compose down -v

# docker ps
CONTAINER ID   IMAGE                         COMMAND             CREATED        STATUS        PORTS                                         NAMES
ec463a92d105   owaspapitop10/owaspapitop10   "./owaspapitop10"   24 hours ago   Up 24 hours   0.0.0.0:58084->8080/tcp, :::58084->8080/tcp   owaspapitop10

# 使用ifconfig命令不存在
ifconfig -a

Command 'ifconfig' not found, but can be installed with:

sudo apt install net-tools
#进行安装
sudo apt install net-tools

#查看ip
192.168.1.103