API安全扫描器
ak-syntribos的Python项目详细描述
syntribos,一个自动化的api安全测试工具
syntribos xxxxxxx x xxxxxxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxx x xxxxxxx x xxxxx x xxx x x xxxxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxx xxx x x x === Automated API Scanning ===
syntribos是一个开源的自动化api安全测试工具,它是 由openstack security project的成员维护。
给定一个简单的配置文件和一个示例http请求,syntribos 可以替换任何api url、url参数、http头和请求体 具有给定字符串集的字段。合成摩擦在每个位置迭代 在请求中自动执行。syntribos旨在自动检测 中的SQL注入、LDAP注入、缓冲区溢出等安全缺陷 此外,syntribos可用于帮助识别新的安全缺陷 通过自动模糊处理。
syntribos有能力测试任何api,但它的设计 OpenStack 牢记应用程序。
测试列表
Syntribos附带电池,这意味着, 配置工作您可以启动对 你的选择。如果您想测试openstack api,那么syntribos 默认情况下,将帮助您自动下载一组模板 一些更大的openstack项目,如nova、neutron、keystone等。
可使用syntribos运行的测试列表如下:
- 缓冲区溢出
- 命令注入
- CORS通配符
- 整数溢出
- LDAP注入
- SQL注入
- 字符串验证
- XML外部实体
- 跨站点脚本(XSS)
缓冲区溢出
web应用程序上下文中的缓冲区溢出攻击 是强制应用程序处理超出缓冲区容量的数据。 在同摩擦学中通过注入一个大的 字符串插入http请求的主体。
整数溢出
syntribos中的整数溢出测试试图注入 例如,远程应用程序可能无法在其存储中表示 试图存储64位数字的32位整数类型
LDAP注入
syntribos试图通过注入ldap语句来进行ldap注入攻击。 进入http请求;如果应用程序未能正确清理 请求内容,可以执行任意命令。
SQL注入
SQL注入攻击是最常见的Web应用程序攻击之一。 如果没有对用户输入进行适当的清理,则很容易 执行可能导致攻击者读取敏感信息的SQL查询 信息或获得对SQL Server的控制权。在同步器中 通过注入一个应用程序来测试sql注入漏洞 将SQL字符串放入HTTP请求。
字符串验证
syntribos中的字符串验证攻击试图利用以下事实 一些字符串模式没有被输入有效地清除 验证程序,可能导致应用程序崩溃。字符示例 可能导致字符串验证漏洞的是特殊的Unicode 字符、表情符号等
XML外部实体
XML外部实体攻击是针对Web的攻击 应用程序的XML解析器。如果XML解析器允许处理 XML文档中引用的外部实体,然后攻击者 可能会导致拒绝服务、信息泄漏等。 syntribos试图将一些恶意字符串注入xml主体 向应用程序发送请求以获取 适当的响应。
支持的操作系统
syntribos主要在linux和mac环境中开发,并且 在大多数基于unix和linux的操作系统上工作。在这一点上,我们不是 支持Windows,但将来可能会有所改变。