Skip to main content

EZ APISCAN

ez apiscan支持多种类api规范格式的识别解析，并进行漏洞扫描

目前已支持以下api格式

swagger v2.0
swagger v3.0

支持以下入口数据解析

swagger
- swagger html 入口页面，会尝试自动抓取
- api-docs 或 swagger.json类json格式数据

使用方法

# 正确的swagger html入口, 会尝试自动发现json api接口
./ez webscan --apiscan -u "http://www.example.com/swagger-ui.html"

# 正确的json api地址
./ez webscan --apiscan -u "http://www.example.com/api-docs"
./ez webscan --apiscan -u "http://www.example.com/swagger.json"

# 自动解析的api未发现正确接口api的baseURL时，可指定 --api-url
./ez webscan --apiscan -u "http://www.example.com/api-docs" --api-url "http://xx.xx.xxx.x/api"

禁用可选项

config.yaml中配置apiscan选项

# apiscan配置项
apiscan:
  # 禁止扫描的请求方法，强制小写。例如: "put,delete"
  disable_methods: ""
  # 禁止扫描的路径包含，强制小写。例如: "/api/delete,droptable"
  disable_paths: ""

目前已支持以下api格式
支持以下入口数据解析
使用方法
禁用可选项