SwaggerFuzzer:一款自动化 OpenAPI/Swagger 接口未授权访问测试工具

SwaggerFuzzer

  • [🌐 一款自动化 OpenAPI/Swagger 接口未授权访问测试工具](#🌐 一款自动化 OpenAPI/Swagger 接口未授权访问测试工具)
    • [🚀 工具介绍:SwaggerFuzzer](#🚀 工具介绍:SwaggerFuzzer)
    • [✨ 核心功能亮点](#✨ 核心功能亮点)
      • [🚀 快速使用](#🚀 快速使用)
      • [🧰 支持参数](#🧰 支持参数)
    • [📌 项目结构](#📌 项目结构)
    • [📥 获取与下载](#📥 获取与下载)

🌐 一款自动化 OpenAPI/Swagger 接口未授权访问测试工具

在现代接口安全测试中,自动化检测未授权访问漏洞 已成为不可或缺的流程。SwaggerFuzzer 受启发于常见安全测试流程中对 Swagger 自动化利用的需求,适合搭配 BurpSuite 使用。是一款专为渗透测试人员打造的轻量级命令行工具,支持对 OpenAPI 3.0 / Swagger 接口文档进行解析、测试并生成详细报告,快速定位安全隐患。


🚀 工具介绍:SwaggerFuzzer

SwaggerFuzzer 是一个支持本地与远程 OpenAPI/Swagger 文档解析的自动化接口扫描工具,具备参数提取、模拟请求、响应记录、权限校验等功能,适用于 API 安全测试、渗透测试前的预审查等场景。


✨ 核心功能亮点

  • 🔍 自动解析 OpenAPI 3.0/3.1 JSON 文档(支持远程和本地文件)
  • 🧪 构造所有 API 请求,包括 Path、Query、Header、Body 各种参数
  • ⚡ 支持多线程并发测试接口,提升 fuzz 速度
  • 📄 自动根据 content-type 构造 JSON、表单、XML、文件上传、ZIP、PDF 等请求体
  • 🕵️ 检测敏感响应(如状态码 200、5XX、422、400)
  • 🖨️ 控制台彩色输出简洁摘要(带状态码高亮)
  • 📦 CSV 文件保存接口调用结果,支持后续分析
  • 🔌 支持代理抓包(例如通过 BurpSuite 拦截)
  • 🔐 可添加自定义请求头(如 Authorization)

🚀 快速使用

bash 复制代码
python main.py -u http://example.com -f swagger.json

或者只使用远程地址:

bash 复制代码
python main.py -u http://example.com/swagger/v1/swagger.json

🧰 支持参数

参数 说明 示例
-u, --url 必填,base URL 或完整 OpenAPI JSON 地址 http://target.com
-f, --file 可选,OpenAPI JSON 本地路径或相对路径 ./swagger.json
-p, --proxy 设置代理 http://127.0.0.1:8080
-t, --threads 多线程数量(默认1) -t 5
-o, --output 输出文件格式(当前仅支持 csv) -o csv
-d, --delay 每个请求间隔秒数 -d 0.5
--header 自定义请求头(可重复) --header="Authorization: Bearer xxx"

📌 项目结构

复制代码
.
├── SwaggerFuzzer.py     # 主程序逻辑(加载 spec、构造请求、发送与记录)
├── util.py              # 工具函数(header 解析、URL 拼接、加载 Swagger 文档)
├── requirements.txt     # 依赖库
├── README.md            # 使用说明

📥 获取与下载

工具开源于 GitHub,可访问以下地址获取源码与使用说明:

👉 GitHub 仓库地址https://github.com/Secur1ty0/SwaggerFuzzer

欢迎 Star、Fork 并提交 issue 参与完善!

相关推荐
安全系统学习5 小时前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
Hacker_Oldv6 小时前
软件测试(功能、工具、接口、性能、自动化、测开)详解
运维·自动化
Java樱木6 小时前
使用字节Trae + MCP,UI 到网页自动化。
运维·自动化
2501_915921438 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915918418 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
小小鱼儿小小林11 小时前
免费一键自动化申请、续期、部署、监控所有 SSL/TLS 证书,ALLinSSL开源免费的 SSL 证书自动化管理平台
开源·自动化·ssl
2501_9159090612 小时前
调试 WebView 旧资源缓存问题:一次从偶发到复现的实战经历
websocket·网络协议·tcp/ip·http·网络安全·https·udp
从零开始学习人工智能13 小时前
深入解析 OPC UA:工业自动化与物联网的关键技术
运维·物联网·自动化
2501_9159214314 小时前
请求未达服务端?iOS端HTTPS链路异常的多工具抓包排查记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
真智AI14 小时前
AI智能体时代来临:数据分析的变革与自动化之路
人工智能·数据分析·自动化