المهارات api-security-testing
📦

api-security-testing

آمن

اختبار أمان API باستخدام سير العمل المنظم

يتطلب اختبار أمان API تغطية منهجية للثغرات الأمنية المتعلقة بالمصادقة والترخيص والحقن. يرشدك هذا سير العمل خلال سبع مراحل اختبار شاملة باستخدام مهارات أمان متخصصة.

يدعم: Claude Codex Code(CC)
🥉 73 برونزي
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "api-security-testing". Begin API security testing workflow for a REST API with 20 endpoints

النتيجة المتوقعة:

  • Phase 1 Complete: Discovered 20 endpoints across 4 resource groups
  • Phase 2 Complete: Authentication tested - JWT implementation secure
  • Phase 3 Complete: Found 2 potential IDOR vulnerabilities in user endpoints
  • Phase 4 Complete: Input validation testing identified 1 SQL injection vector
  • Final Report: 3 vulnerabilities documented with remediation steps

استخدام "api-security-testing". Test GraphQL endpoint for security vulnerabilities

النتيجة المتوقعة:

  • Introspection: Enabled (consider disabling in production)
  • Query Depth: Limited to 10 levels (secure)
  • Complexity Analysis: Not implemented (recommend adding limits)
  • Batch Queries: Allowed without limits (potential DoS vector)
  • Recommendation: Implement query complexity limits and batch restrictions

التدقيق الأمني

آمن
v1 • 2/24/2026

Static analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.

1
الملفات التي تم فحصها
173
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
50
المجتمع
100
الأمان
83
الامتثال للمواصفات

ماذا يمكنك بناءه

اختبار API في برامج المكافآت

باحثو الأمان الذين يختبرون نقاط نهاية API بحثًا عن الثغرات في برامج المكافآت

مراجعة أمان فريق التطوير

فرق التطوير التي تتحقق من أمان API قبل النشر في الإنتاج

سير عمل تدقيق الأمان

المستشارون الذين يقومون بتقييمات شاملة لأمان API للعملاء

جرّب هذه الموجهات

مبتدئ: اكتشاف API 
Use @api-fuzzing-bug-bounty to discover all API endpoints. Enumerate endpoints, document API methods, identify parameters, map data flows, and review available documentation.
متوسط: اختبار المصادقة 
Use @broken-authentication to test API authentication mechanisms. Test API key validation, JWT token handling, OAuth2 flows, token expiration, and refresh token security.
متقدم: اختبار الترخيص 
Use @idor-testing to test API authorization controls. Test object-level authorization, function-level access, role-based permissions, privilege escalation paths, and multi-tenant isolation.
خبير: أمان GraphQL 
Use @api-fuzzing-bug-bounty to test GraphQL endpoint security. Test introspection settings, query depth limits, query complexity, batch query handling, and field suggestion exposure.

أفضل الممارسات

  • أكمل جميع المراحل السبع بشكل منهجي لتغطية شاملة
  • وثق جميع النتائج مع خطوات إعادة الإنتاج وتقييمات الخطورة
  • اختبار المسارات السعيدة والحالات الحدية لكل ضابط أمني

تجنب

  • تخطي المراحل بناءً على افتراضات حول API
  • الاختبار بدون تفويض مناسب من مالكي API
  • التركيز فقط على الاختبارات الآلية بدون تحقق يدوي

الأسئلة المتكررة

ما المهارات التي أحتاجها لاستخدام هذا سير العمل؟
يشير هذا سير العمل إلى api-fuzzing-bug-bounty و broken-authentication و idor-testing و sql-injection-testing و api-security-best-practices. كل مرحلة تستدعي مهارات محددة للاختبار المستهدف.
هل يمكنني استخدام هذا لـ GraphQL APIs؟
نعم، تغطي المرحلة 6 بشكل خاص اختبار أمان GraphQL بما في ذلك الإعدادات الاستكشافية وعمق الاستعلام وتعقيد الاستعلام وثغرات الاستعلام المجمع.
كم يستغرق تقييم أمان API الكامل؟
يختلف وقت التقييم حسب تعقيد API. قد تستغرق APIs الصغيرة (10-20 نقطة نهاية) من 2 إلى 4 ساعات. قد تتطلب APIs الأكبر أيامًا كاملة عبر جلسات اختبار متعددة.
هل هذا مناسب للمسح الأمني الآلي؟
مصمم هذا سير العمل للاختبار الأمني اليدوي بمساعدة AI. للمسح الآلي، فكر في استخدام أدوات المسح الأمنية المخصصة بالإضافة إلى هذا سير العمل.
ما التفويض الذي أحتاجه قبل الاختبار؟
اختبر فقط APIs التي تمتلكها أو التي لديك إذن كتابي صريح باختبارها. قد Violates الاختبار الأمني غير المصرح به شروط الخدمة والقوانين المعمول بها.
كيف يجب أن أثبت الثغرات المكتشفة؟
وثق كل ثغرة بـ: الوصف، نقطة النهاية المتأثرة، خطوات إعادة الإنتاج، التأثير المحتمل، تصنيف الخطورة، والإجراءات التصحيحية الموصى بها. أضف证据 مثل عينات الطلب/الاستجابة.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-testing

مرجع

main

بنية الملفات

📄 SKILL.md