api-security-testing
اختبار أمان API باستخدام سير العمل المنظم
يتطلب اختبار أمان API تغطية منهجية للثغرات الأمنية المتعلقة بالمصادقة والترخيص والحقن. يرشدك هذا سير العمل خلال سبع مراحل اختبار شاملة باستخدام مهارات أمان متخصصة.
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“api-security-testing”。 Begin API security testing workflow for a REST API with 20 endpoints
预期结果:
- Phase 1 Complete: Discovered 20 endpoints across 4 resource groups
- Phase 2 Complete: Authentication tested - JWT implementation secure
- Phase 3 Complete: Found 2 potential IDOR vulnerabilities in user endpoints
- Phase 4 Complete: Input validation testing identified 1 SQL injection vector
- Final Report: 3 vulnerabilities documented with remediation steps
正在使用“api-security-testing”。 Test GraphQL endpoint for security vulnerabilities
预期结果:
- Introspection: Enabled (consider disabling in production)
- Query Depth: Limited to 10 levels (secure)
- Complexity Analysis: Not implemented (recommend adding limits)
- Batch Queries: Allowed without limits (potential DoS vector)
- Recommendation: Implement query complexity limits and batch restrictions
安全审计
安全Static analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.
质量评分
你能构建什么
اختبار API في برامج المكافآت
باحثو الأمان الذين يختبرون نقاط نهاية API بحثًا عن الثغرات في برامج المكافآت
مراجعة أمان فريق التطوير
فرق التطوير التي تتحقق من أمان API قبل النشر في الإنتاج
سير عمل تدقيق الأمان
المستشارون الذين يقومون بتقييمات شاملة لأمان API للعملاء
试试这些提示
Use @api-fuzzing-bug-bounty to discover all API endpoints. Enumerate endpoints, document API methods, identify parameters, map data flows, and review available documentation.
Use @broken-authentication to test API authentication mechanisms. Test API key validation, JWT token handling, OAuth2 flows, token expiration, and refresh token security.
Use @idor-testing to test API authorization controls. Test object-level authorization, function-level access, role-based permissions, privilege escalation paths, and multi-tenant isolation.
Use @api-fuzzing-bug-bounty to test GraphQL endpoint security. Test introspection settings, query depth limits, query complexity, batch query handling, and field suggestion exposure.
最佳实践
- أكمل جميع المراحل السبع بشكل منهجي لتغطية شاملة
- وثق جميع النتائج مع خطوات إعادة الإنتاج وتقييمات الخطورة
- اختبار المسارات السعيدة والحالات الحدية لكل ضابط أمني
避免
- تخطي المراحل بناءً على افتراضات حول API
- الاختبار بدون تفويض مناسب من مالكي API
- التركيز فقط على الاختبارات الآلية بدون تحقق يدوي