swaggerHole：针对swaggerHub的公共API安全扫描工具

FB客服

发布于 2024-06-11 07:59:57

19210

代码可运行

文章被收录于专栏：FreeBufFreeBuf

运行总次数：0

代码可运行

关于swaggerHole

swaggerHole是一款针对swaggerHub的API安全扫描工具，该工具基于纯Python 3开发，可以帮助广大研究人员检索swaggerHub上公共API的相关敏感信息，整个任务过程均以自动化形式实现，且具备多线程特性和管道模式。

工具要求

Python 3 pip3

类Linux操作系统的安装命令如下：

sudo apt install python3

sudo apt install python3-pip

工具安装

pip安装

该项目目前已托管至PyPI，可以直接使用下列命令安装swaggerHole：

pip3 install swaggerhole

源码安装

除此之外，广大研究人员还可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Liodeus/swaggerHole.git

然后切换到项目目录下，运行工具安装脚本即可：

cd swaggerHole

pip3 install .

工具使用

下图所示为swaggerHole的工具帮助和参数选项：

使用命令样例：

swaggerhole [-h] [-s SEARCH] [-o OUT] [-t THREADS] [-j] [-q] [-du] [-de]

参数解析

-h, --help：显示工具帮助信息和退出；

-s SEARCH, --search SEARCH：搜索语句；

-o OUT, --out OUT：设置输出目录；

-t THREADS, --threads THREADS：设置要使用的运行线程数量 (默认为25)

-j, --json：使用JSON格式输出；

-q, --quiet：静默模式，移除Banner；

-du, --deactivate_url：不激活URL过滤功能（会增加假阳性）；

-de, --deactivate_email：不激活email过滤功能（会增加假阳性）；

工具使用演示

搜索目标域名相关的API敏感信息

swaggerHole -s test.com

echo test.com | swaggerHole

搜索目标域名相关的API敏感信息（输出JSON数据）

swaggerHole -s test.com --json

echo test.com | swaggerHole --json

搜索目标域名相关的API敏感信息（速度提升）

swaggerHole -s test.com -t 100

echo test.com | swaggerHole -t 100

工具输出

常规输出

Finding_Type - Finding - [Swagger_Name][Date_Last_Update][Line:Number]

JSON输出

{"Finding_Type": Finding, "File": File_path, "Date": Date_Last_Update, "Line": Number}

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

swaggerHole：

https://github.com/Liodeus/swaggerHole

https://app.swaggerhub.com/search

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2024-06-07，如有侵权请联系 cloudcommunity@tencent.com 删除

工具

本文分享自 FreeBuf 微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

1 条评论

热度