Compétences api-fuzzing-bug-bounty
🔒

api-fuzzing-bug-bounty

Sûr ⚙️ Commandes externes🌐 Accès réseau

اختبار واجهات برمجة التطبيقات للبحث عن الجوائز

غالباً ما تحتوي واجهات برمجة التطبيقات على ثغرات أمنية يمكن للمهاجمين استغلالها. يعلمك هذا المهارة تقنيات اختبار واجهات برمجة التطبيقات الشاملة بحيث يمكنك تحديد ثغرات المرجع المباشر غير الآمن وعمليات الحقن والتحايل على المصادقة أثناء البحث المسموح به عن الجوائز.

Prend en charge: Claude Codex Code(CC)
⚠️ 66 Médiocre
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "api-fuzzing-bug-bounty". Help me test for IDOR on /api/v1/invoices/{invoice_id}

Résultat attendu:

IDOR Testing Guide:

1. First, access your own invoice to establish baseline
2. Try incrementing the ID: /api/v1/invoices/12345 → /api/v1/invoices/12346
3. Test bypass techniques:
- Wrap ID in array: {"id":[12345]}
- JSON wrapper: {"id":{"id":12345}}
- Parameter pollution: ?invoice_id=12345&invoice_id=12346
4. Test different user contexts if you have multiple accounts
5. Check for horizontal and vertical IDOR (different privilege access)

Utilisation de "api-fuzzing-bug-bounty". What SQL injection payloads work in JSON API requests?

Résultat attendu:

JSON SQL Injection Payloads:

Basic tests:
- {"id":"1' OR '1'='1"}
- {"id":"1; DROP TABLE users--"}

Boolean-based:
- {"id":"1 AND 1=1"}
- {"id":"1 AND 1=2"}

Time-based (blind):
- {"id":"1 AND sleep(5)--"}
- {"id":"1'; WAITFOR DELAY '0:0:5'--"}

Error-based:
- {"id":"1' AND extractvalue(1,concat(0x7e,version()))--"}

Audit de sécurité

Sûr
v1 • 2/24/2026

All 76 static findings are false positives. The skill is documentation for authorized security testing (bug bounty/penetration testing). The detected patterns are legitimate testing methodologies: command examples for API fuzzing, example URLs for target testing, and documented vulnerability test payloads (XXE, LFI, SSRF). This is standard security education content for authorized testing workflows.

1
Fichiers analysés
439
Lignes analysées
5
résultats
1
Total des audits

Problèmes critiques (2)

SKILL.md:141
Static Scanner False Positive: XXE Test Payload
Line 141 contains `<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>` which is a legitimate XXE (XML External Entity) injection test payload. This is standard security testing documentation for authorized penetration testing, not actual malicious code.
SKILL.md:298
Static Scanner False Positive: LFI Test Payload
Line 298 contains `<iframe src="file:///etc/passwd"` which is a Local File Inclusion (LFI) test example. This is legitimate documentation for testing PDF export vulnerabilities.

Problèmes à risque élevé (1)

SKILL.md:329
Static Scanner False Positive: JWT Weakness Documentation
Line 329 mentions 'JWT Weaknesses' in the vulnerability checklist. This documents what to test for during security assessments, not the use of weak cryptography.

Facteurs de risque

⚙️ Commandes externes (48)
SKILL.md:51-64 SKILL.md:64-68 SKILL.md:68-80 SKILL.md:80-86 SKILL.md:86-94 SKILL.md:94-98 SKILL.md:98-114 SKILL.md:114-120 SKILL.md:120-126 SKILL.md:126-130 SKILL.md:130-136 SKILL.md:136-140 SKILL.md:140-142 SKILL.md:142-146 SKILL.md:146-149 SKILL.md:149-153 SKILL.md:153-159 SKILL.md:159-163 SKILL.md:163-173 SKILL.md:173-183 SKILL.md:183-185 SKILL.md:185-189 SKILL.md:189-191 SKILL.md:191-195 SKILL.md:195-204 SKILL.md:204-208 SKILL.md:208-218 SKILL.md:218-222 SKILL.md:222-226 SKILL.md:226-230 SKILL.md:230-246 SKILL.md:246-250 SKILL.md:250-256 SKILL.md:256-274 SKILL.md:274-288 SKILL.md:288-296 SKILL.md:296-308 SKILL.md:308-312 SKILL.md:312-318 SKILL.md:318-346 SKILL.md:346-347 SKILL.md:347-395 SKILL.md:395-405 SKILL.md:405-415 SKILL.md:415-419 SKILL.md:419-423 SKILL.md:423-431 SKILL.md:431-432
🌐 Accès réseau (18)
SKILL.md:395 SKILL.md:431 SKILL.md:60 SKILL.md:147 SKILL.md:148 SKILL.md:156 SKILL.md:157 SKILL.md:158 SKILL.md:252 SKILL.md:255 SKILL.md:301 SKILL.md:304 SKILL.md:307 SKILL.md:420 SKILL.md:147 SKILL.md:148 SKILL.md:301 SKILL.md:304
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
55
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

يختبر باحث الجوائز واجهة برمجة التطبيقات للهدف

يستخدم باحث الجوائز هذا المهارة لاختبار نظام واجهة برمجة التطبيقات للهدف بشكل منهجي للثغرات. يتبعون سير عمل اختبار IDOR وتقنيات الحقن وطرق اختبار GraphQL للعثور على مشكلات أمنية صالحة.

يقيّم مختبري الاختراق أمان واجهة برمجة التطبيقات

يستخدم مختبري الاختراق المحترف هذه المهارة أثناء مهمة التدقيق على واجهات برمجة تطبيقات العملاء. توفر المهارة قائمة مرجعية شاملة ومنهجية لاختبار ضوابط أمان واجهات برمجة التطبيقات.

يتعلم المطور أمان واجهات برمجة التطبيقات

يستخدم مطور البرمجيات هذه المهارة لفهم ثغرات واجهات برمجة التطبيقات الشائعة. يساعدهم ذلك في كتابة أكواد أكثر أماناً وفهم أفضل لكيفية الدفاع ضد تقنيات الهجوم الموثقة هنا.

Essayez ces prompts

اختبار أمان واجهة برمجة التطبيقات الأساسي 
Help me test a REST API endpoint for security vulnerabilities. The endpoint is /api/v1/users/{id} and uses Bearer token authentication. What are the main vulnerability categories I should test for?
فحص ثغرة IDOR 
Show me how to test for IDOR vulnerabilities on an API that returns user profile data. The API uses /api/users/{user_id} endpoint. I want to test if I can access other users' profiles.
تدقيق أمان GraphQL 
I need to audit a GraphQL API for security issues. The endpoint is /graphql. What GraphQL-specific attacks should I test for, and how do I check if introspection is enabled?
اختبار اختراق واجهة برمجة التطبيقات الكامل 
I have authorization to test an API at https://api.example.com. Create a comprehensive testing plan covering reconnaissance, authentication testing, IDOR, injection, and bypass techniques. Include specific payloads for each test category.

Bonnes pratiques

  • احصل دائماً على تفويض كتابي قبل اختبار أي واجهة برمجة تطبيقات لا تملكها
  • اختبار على بيئات غير الإنتاجية عندما تكون متاحة لتجنب تعطيل الخدمات
  • وثّق جميع النتائج مع طلبات وبراهين إثبات المفهوم والتقارير للاستجابة
  • استخدم تحديد速率 والتحكم في التدفق لتجنب إرهاق واجهات برمجة التطبيقات المستهدفة أثناء الاختبار

Éviter

  • لا تختبر واجهات برمجة التطبيقات الإنتاجية بدون تفويض صريح من المالك
  • لا تستخدم تقنيات الفحص العدوانية التي قد تسبب رفض الخدمة
  • لا تفترض أن جميع نقاط النهاية لها نفس ضوابط الأمان - اختبر كل واحدة منها بشكل منفصل
  • لا تتجاهل تحديد速率 - احترم الهدف وتراجع عندما تصل إلى الحدود

Foire aux questions

هل هذه المهارة قانونية للاستخدام؟
توفر هذه المهارة منهجية اختبار الأمان. قد يكون استخدام هذه التقنيات على واجهات برمجة التطبيقات التي لا تملكها أو ليس لديك تفويض لاختبارها غير قانوني. احصل دائماً على إذن كتابي من مالك الهدف قبل الاختبار.
هل أحتاج أدوات خاصة لاستخدام هذه المهارة؟
تعمل هذه المهارة بشكل أفضل مع أداة وكيل مثل Burp Suite أو OWASP ZAP أو ما类似的. ستحتاج أيضاً إلى فهم طلبات HTTP والثغرات الشائعة في الويب.
هل يمكن لهذه المهارة اكتشاف جميع ثغرات واجهات برمجة التطبيقات؟
لا يمكن لأي مهارة واحدة اكتشاف جميع الثغرات. تغطي هذه المهارة مشاكل واجهة برمجة التطبيقات الشائعة لكن التهديدات المتقدمة قد تتطلب أدوات وتقنيات متخصصة. يعطي الاختبار اليدويCombined مع الأتمتة أفضل النتائج.
كيف أختبر واجهات برمجة التطبيقات التي تستخدم OAuth أو مفاتيح API؟
أدر رؤوس المصادقة في طلباتك. اختبر كلتا الحالتين مع المصادقة وبدونها. بالنسبة لـ OAuth تحقق من صحة الرمز ونقاط نهاية تجديد الرمز وتدفق التفويض للثغرات.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-fuzzing-bug-bounty

Réf

main

Structure de fichiers

📄 SKILL.md