Apiffuf by Jsmon

Apiffuf 是一款专为 API 安全研究人员设计的 URL 模糊测试工具，由 Jsmon 开发。它能够将主机名和路径进行交叉组合，生成规范化的 URL，并通过 HTTP 探测这些 URL，最终报告所有响应的端点。

核心功能

Apiffuf 的核心在于其高效的 URL 生成与探测机制。它接受用户提供的主机列表和路径列表，自动进行笛卡尔积组合，生成完整的 URL 集合。随后，工具会并发发送 HTTP 请求，检测哪些端点存在响应，从而帮助安全研究人员快速发现隐藏或未文档化的 API 接口。

主要特性

• 高效交叉组合：支持从文件或标准输入读取主机和路径，自动生成所有可能的 URL 组合，不遗漏任何潜在端点。
• 并发探测：利用异步 HTTP 请求，快速扫描大量 URL，显著提升测试效率。
• 灵活的输出：默认只输出响应成功的端点（HTTP 状态码 2xx/3xx），也可通过选项显示所有结果，便于分析。
• 轻量级设计：基于 Rust 编写，性能优异，无需复杂依赖，即装即用。
• 开源免费：项目托管于 GitHub，社区活跃，持续更新。

适用场景

• API 安全审计：在渗透测试中，快速发现未公开的 API 端点。
• 攻击面分析：枚举目标 API 的完整 URL 结构，评估暴露风险。
• 红队演练：作为信息收集阶段的辅助工具，扩大攻击面。

Apiffuf 是 API 安全测试工具箱中不可或缺的一员，尤其适合需要快速、全面发现 API 端点的场景。