المهارات API Fuzzing for Bug Bounty
🔒

API Fuzzing for Bug Bounty

مخاطر منخفضة ⚙️ الأوامر الخارجية🌐 الوصول إلى الشبكة

إتقان اختبار أمان API لبرامج مكافآت الثغرات

تعد ثغرات API من أكثر النتائج شيوعاً وخطورة في برامج مكافآت الثغرات. يوفر هذا الدليل تقنيات شاملة لاختبار REST وGraphQL وSOAP لاكتشاف ثغرات IDOR والحقن والتحايل على المصادقة.

يدعم: Claude Codex Code(CC)
⚠️ 68 ضعيف
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "API Fuzzing for Bug Bounty". Test for IDOR on invoice endpoint

النتيجة المتوقعة:

منهجية اختبار IDOR المنهجية: (1) الوصول إلى فاتورتك الخاصة على /api/v1/invoices/12345، (2) زيادة المعرف إلى 12346 ومراقبة الاستجابة، (3) اختبار تغليف المصفوفة {"id":[12346]}، (4) جرب صيغ UUID/GUID، (5) اختبار تلوث المعلمات مع قيم متعددة لـ user_id

استخدام "API Fuzzing for Bug Bounty". GraphQL introspection analysis

النتيجة المتوقعة:

كشف تحليل المخطط: نوع User يكشف حقول email/password/creditCard بدون فحوصات تفويض. Mutation login() عرضة لـ SQL injection. التوصيات: تعطيل Introspection في الإنتاج، تنفيذ التفويض على مستوى الحقول، إضافة التحقق من الإدخال

التدقيق الأمني

مخاطر منخفضة
v1 • 2/24/2026

This skill is a markdown documentation file containing educational content about API security testing methodologies. The static analyzer flagged 75 patterns (external commands, network URLs, injection payloads), but all are false positives - they exist within markdown code blocks as instructional examples, not executable code. The content covers legitimate bug bounty techniques including IDOR testing, SQL injection detection, GraphQL security, and authentication bypass methods. Suitable for publication as educational security content for authorized testing engagements.

1
الملفات التي تم فحصها
434
الأسطر التي تم تحليلها
3
النتائج
1
إجمالي عمليات التدقيق
مشكلات منخفضة المخاطر (1)
SKILL.md:1-434
Educational Security Content - Documentation Only
Static analyzer detected code execution patterns, network URLs, and injection payloads. All findings are false positives - the file is markdown documentation containing instructional examples in code blocks, not executable code. No actual security risk from the skill itself.

عوامل الخطر

⚙️ الأوامر الخارجية (1)
SKILL.md:49-430
🌐 الوصول إلى الشبكة (1)
SKILL.md:58-420
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
90
قابلية الصيانة
87
المحتوى
50
المجتمع
88
الأمان
74
الامتثال للمواصفات

ماذا يمكنك بناءه

اختبار API لصائد مكافآت الثغرات

منهجية منهجية لاكتشاف ثغرات API في برامج مكافآت الثغرات المفوضة، مع التركيز على النتائج عالية التأثير مثل IDOR والتحايل على المصادقة.

دعم اختبار الاختراق

منهجية شاملة لاختبار أمان API للاختباريين المحترفين الذين يجرون تقييمات مفوضة لـ API العملاء.

تدريب المطورين على الأمان

مورد تعليمي للمطورين لفهم متجهات هجوم API وتنفيذ ضوابط الأمان المناسبة في تطبيقاتهم.

جرّب هذه الموجهات

الاستطلاع الأساسي لـ API 
أحتاج إلى اختبار أمان نقطة نهاية API على https://target.com/api/v1. ساعدني في تحديد أسطح الهجوم المحتملة وإنشاء قائمة فحص للثغرات الشائعة في API.
منهجية اختبار IDOR 
وجدت نقطة نهاية API /api/v1/users/{id} التي ترجع بيانات المستخدم.Guideme من خلال تقنيات اختبار IDOR المنهجية بما في ذلك معالجة المعلمات والحقن المصفوفاوي وأساليب التحايل.
تقييم أمان GraphQL 
يهدف إلى وجود نقطة نهاية GraphQL على /graphql مع تمكين Introspection. ساعدني في تحليل المخطط للمشاكل الأمنية واختبار الثغرات الشائعة في GraphQL بما في ذلك هجمات الدفعات والالتفاف على التفويض.
اختبار حقن API 
أختبر REST API يقبل إدخال JSON.وفر استراتيجية اختبار حقن شاملة تغطي حقن SQL في حقول JSON والحقن COMMAND عبر المعلمات وXXE لنقاط النهاية التي تستخدم XML.

أفضل الممارسات

  • احصل دائماً على تفويض كتابي صريح قبل اختبار أي API - فقط اختبر الأنظمة التي تملكها أو لديك.permission للتقييم من خلال برامج مكافآت الثغرات
  • اختبر جميع إصدارات API (v1 وv2 وv3) بشكل منفصل حيث تختلف ضوابط الأمان souvent بين الإصدارات
  • وثق جميع النتائج بخطوات إعادة إنتاج واضحة وطلبات HTTP وتحليل التأثير للإفصاح المسؤول

تجنب

  • لا تفترض أبداً أن API الخاصة بالهاتف المحمول والويب والمطورين لديهم ضوابط أمان متطابقة - اختبر كل سطح بشكل مستقل
  • لا تخطئ نقاط النهاية غير الموثقة - غالباً ما تحتوي نقاط النهاية المخفية للإدارة والتصحيح على أمان أضعف
  • تجنب الاختبار بدون awareness لحدود المعدل -实施的延迟并负责任地考虑使用批量请求

الأسئلة المتكررة

هل اختبار API fuzzing قانوني لصيد مكافآت الثغرات؟
نعم، عند إجرائها على الأنظمة التي لها تفويض صريح من خلال برامج مكافآت الثغرات أو على الأنظمة التي تملكها. اقرأ واتبع دائماً قواعد المشاركة والنطاق المحددة للبرنامج.
ما هي الأدوات التي أحتاجها لإجراء اختبار أمان API؟
الأدوات الأساسية تشمل Burp Suite أو ما شابههاوكيل مشابه، وقوائم كلمات API مثل SecLists، وأدوات متخصصة مثل Kiterunner للاكتشاف، وInQL لـ GraphQL، وPython مخصصة للـ automation.
ما هي ثغرة API الأكثر شيوعاً؟
IDOR (Insecure Direct Object Reference)، المعروف أيضاً باسم BOLA (Broken Object Level Authorization)، هو بشكل ثابت من أكثر ثغرات API شيوعاً وتأثيراً في برامج مكافآت الثغرات.
كيف أختبر GraphQL بشكل مختلف عن REST؟
يتطلب GraphQL اختبار استعلامات Introspection وهجمات الدفعات للالتفاف على حدود المعدل وDoS للاستعلامات المتداخلة وتحليل التفويض القائم على المخطط. يغير سطح الهجوم بشكل كبير.
ماذا يجب أن أفعل إذا وجدت ثغرة API حرجة؟
وثق الثغرة بخطوات إعادة إنتاج واضحة، وقم بتصغير الوصول للبيانات أثناء الاختبار، وقدم تقرير إفصاح مسؤول من خلال القناة المناسبة (منصة مكافآت الثغرات أو جهة الاتصال الأمنية).
هل يمكن لهذا الدليل مساعدتي في تعلم أمان API من الصفر؟
يوفر هذا الدليل تقنيات شاملة ولكن يفترض وجود معرفة أساسية بـ HTTP ومفاهيم أمان الويب ومنهجية الاختبار الأساسية. يجب على المبتدئين البدء بتوثيق OWASP API Security Top 10.

تفاصيل المطور

المؤلف

zebbern

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/api-fuzzing-bug-bounty

مرجع

main

بنية الملفات

📄 SKILL.md