输入任意 API 地址,3 秒内检测 12 项安全风险,生成专业评分报告
检测:无鉴权 · 明文传输 · CORS 配错 · 敏感数据泄露 · SQL 注入 · 路径遍历 · Rate Limiting · 安全头缺失 · API Key 暴露
正在分析 URL 结构与安全特征…
检测协议 · 路径特征 · 参数模式 · 安全头指示
YesApi Java Pro 内置完整安全体系:Token 鉴权、HTTPS 强制、Rate Limiting、CORS 管控、敏感数据加密——开箱即用,当天交付私有部署。
覆盖 API 常见安全风险,助力开发者快速定位问题
检测 API 是否缺少身份验证机制
识别 HTTP 明文协议的 API
检测跨域资源共享配置
扫描 URL 中的明文密钥
检测 URL 中的敏感信息
SQL/XSS/命令注入模式检测
检测 ../ 路径遍历特征
检测接口限流机制存在性
CSP/X-Frame-Options 等头部
检测堆栈和敏感错误暴露
识别 API 框架和中间件版本
检测不合理的超时配置
由于浏览器 CORS 安全限制,该工具无法向大多数外部 API 发送实际 HTTP 请求,因此主要通过 URL 结构静态分析 来评估风险等级。对于需要实际发包的渗透测试(如 SQL 注入动态检测),建议使用专业渗透测试工具。YesApi Java Pro 内置的安全能力已覆盖以上检测项,开箱即用。
评分从 100 分起始,根据检测到的风险项扣分:高危问题扣 20-30 分,中危扣 10-15 分,低危扣 3-8 分。例如:明文 HTTP(-20)、API Key 明文暴露(-25)、注入风险(-20)、敏感数据暴露(-15)、缺少鉴权(-20)、CORS 配错(-10)、无 Rate Limiting(-8)。
默认仅做 URL 静态分析,不发送实际请求。如果需要检测 HTTP 响应头(如安全头、CORS 头),请勾选"深度检测"选项——此时会向目标地址发送一个 HEAD 请求(部分 API 因 CORS 限制可能失败,属正常现象)。