APIKit icon indicating copy to clipboard operation
APIKit copied to clipboard
verified publisher icon API-Security

开放自定义HOST

Open XF-FS opened this issue 1 year ago • 2 comments

需要使用对指定的接口做fuzz,对方提供了api-doc的json文件, 本地python开启http.server 然后发起扫描,指定配置的Base Path URL为服务器地址,API Document URL为本地的API-doc地址 发起扫描的时候,发现xray会将所有的请求都打啊都本地的http.server端口上, 修改Header(通过换行可以添加多个header)栏,添加host也不生效 这个可以解决吗

XF-FS avatar Jun 07 '24 04:06 XF-FS

修改一下api-doc.json里的地址就行了吧

yuligesec avatar Jun 12 '24 08:06 yuligesec

有一些情况下,当你访问这个api-doc.json文件时,插件并不能提取到指纹特征进行扫描,需要手动转发让他扫描。 使用Do Auto API Scan 功能扫描json文件的时候,自动请求的数据包中他请求的host是我自己开的python IP和端口

使用Do Targe API Scan 功能扫描json文件,测试发现,将请求转发到repeater后,target地址确实改成了修改后的Targe地址,但是xray扫描时并不会根据Targe的地址选择扫描到目标,他只根据host里的地址进行扫描

XF-FS avatar Jun 13 '24 05:06 XF-FS

你改一下api-doc.json里的baseUrl就可以了吧

yuligesec avatar Nov 19 '24 02:11 yuligesec