المهارات API Fuzzing for Bug Bounty
🔒

API Fuzzing for Bug Bounty

مخاطر منخفضة ⚙️ الأوامر الخارجية🌐 الوصول إلى الشبكة

API-Sicherheitstestung für Bug Bounty meistern

API-Schwachstellen gehören zu den häufigsten und kritischsten Findings in Bug-Bounty-Programmen. Diese Skill bietet umfassende Techniken zum Testen von REST-, GraphQL- und SOAP-APIs zur Entdeckung von IDOR-, Injection- und Authentication-Bypass-Schwachstellen.

يدعم: Claude Codex Code(CC)
⚠️ 68 ضعيف
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "API Fuzzing for Bug Bounty". Teste IDOR auf Invoice-Endpunkt

النتيجة المتوقعة:

Systematischer IDOR-Testungsansatz: (1) Greife auf eigene Invoice unter /api/v1/invoices/12345 zu, (2) Erhöhe ID auf 12346 und beobachte Antwort, (3) Teste Array-Wrapping {"id":[12346]}, (4) Probiere UUID/GUID-Formate, (5) Teste Parameter-Pollution mit mehreren user_id-Werten

استخدام "API Fuzzing for Bug Bounty". GraphQL Introspection-Analyse

النتيجة المتوقعة:

Schema-Analyse zeigt: User-Typ legt email/password/creditCard-Felder ohne Authorization-Checks frei. Mutation login() anfällig für SQL-Injection. Empfehlung: Introspection in Produktion deaktivieren, Feld-level Authorization implementieren, Eingabevalidierung hinzufügen

التدقيق الأمني

مخاطر منخفضة
v1 • 2/24/2026

This skill is a markdown documentation file containing educational content about API security testing methodologies. The static analyzer flagged 75 patterns (external commands, network URLs, injection payloads), but all are false positives - they exist within markdown code blocks as instructional examples, not executable code. The content covers legitimate bug bounty techniques including IDOR testing, SQL injection detection, GraphQL security, and authentication bypass methods. Suitable for publication as educational security content for authorized testing engagements.

1
الملفات التي تم فحصها
434
الأسطر التي تم تحليلها
3
النتائج
1
إجمالي عمليات التدقيق
مشكلات منخفضة المخاطر (1)
SKILL.md:1-434
Educational Security Content - Documentation Only
Static analyzer detected code execution patterns, network URLs, and injection payloads. All findings are false positives - the file is markdown documentation containing instructional examples in code blocks, not executable code. No actual security risk from the skill itself.

عوامل الخطر

⚙️ الأوامر الخارجية (1)
SKILL.md:49-430
🌐 الوصول إلى الشبكة (1)
SKILL.md:58-420
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
90
قابلية الصيانة
87
المحتوى
50
المجتمع
88
الأمان
74
الامتثال للمواصفات

ماذا يمكنك بناءه

Bug-Bounty-Jäger API-Testung

Systematischer Ansatz zur Entdeckung von API-Schwachstellen in autorisierten Bug-Bounty-Programmen, mit Fokus auf High-Impact-Findings wie IDOR und Authentication-Bypasses.

Penetrationstesting-Einsatz-Unterstützung

Umfassende API-Sicherheitstestungsmethodik für professionelle Penetrationstester, die autorisierte Bewertungen von Client-APIs durchführen.

Entwickler-Sicherheitsschulung

Bildungsressource für Entwickler, um API-Angriffsvektoren zu verstehen und entsprechende Sicherheitskontrollen in ihren Anwendungen zu implementieren.

جرّب هذه الموجهات

Basis-API-Reconnaissance 
Ich muss die Sicherheit eines API-Endpunkts unter https://target.com/api/v1 testen. Helfen Sie mir, potenzielle Angriffsflächen zu identifizieren und eine Test-Checkliste für häufige API-Schwachstellen zu erstellen.
IDOR-Testmethodik 
Ich habe einen API-Endpunkt /api/v1/users/{id} gefunden, der Benutzerdaten zurückgibt. Führen Sie mich durch systematische IDOR-Testtechniken einschließlich Parameter-Manipulation, Array-Injection und Bypass-Methoden.
GraphQL-Sicherheitsbewertung 
Das Ziel hat einen GraphQL-Endpunkt unter /graphql mit aktivierter Introspection. Helfen Sie mir, das Schema auf Sicherheitsprobleme zu analysieren und auf häufige GraphQL-Schwachstellen zu testen einschließlich Batching-Angriffen und Authorization-Bypasses.
API-Injection-Testung 
Ich teste eine REST-API, die JSON-Eingabe akzeptiert. Geben Sie mir eine umfassende Injection-Teststrategie für SQL-Injection in JSON-Feldern, Command-Injection über Parameter und XXE-Payloads für XML-Endpunkte.

أفضل الممارسات

  • Erhalten Sie immer eine ausdrückliche schriftliche Authorization bevor Sie eine API testen - testen Sie nur Systeme, die Sie besitzen oder für die Sie durch Bug-Bounty-Programme die Erlaubnis haben
  • Testen Sie alle API-Versionen (v1, v2, v3) separat, da sich Sicherheitskontrollen oft zwischen Versionen unterscheiden
  • Dokumentieren Sie alle Findings mit klaren Reproduktionsschritten, HTTP-Anfragen und Impact-Analysen für verantwortungsvolle Offenlegung

تجنب

  • Nehmen Sie niemals an, dass mobile, Web- und Entwickler-APIs identische Sicherheitskontrollen haben - testen Sie jede Fläche unabhängig
  • Überspringen Sie keine undokumentierten Endpunkte - versteckte Admin- und Debug-Endpunkte haben oft schwächere Sicherheit
  • Testen Sie nicht ohne Rate-Limit-Bewusstsein - implementieren Sie Verzögerungen und erwägen Sie die verantwortungsvolle Nutzung von Batch-Anfragen

الأسئلة المتكررة

Ist API Fuzzing legal für Bug-Bounty-Jagd?
Ja, wenn sie auf Systemen mit ausdrücklicher Authorization durch Bug-Bounty-Programme oder auf Systemen, die Sie besitzen, durchgeführt wird. Lesen und befolgen Sie immer die spezifischen Regeln des Programms für Engagement und Scope-Definitionen.
Welche Tools benötige ich für API-Sicherheitstestung?
Essentielle Tools umfassen Burp Suite oder ähnliche Proxy, API-Wordlists wie SecLists und spezialisierte Tools wie Kiterunner für Discovery, InQL für GraphQL und benutzerdefinierte Python-Scripts für Automatisierung.
Was ist die häufigste API-Schwachstelle?
IDOR (Insecure Direct Object Reference), auch bekannt als BOLA (Broken Object Level Authorization), ist konstant unter den häufigsten und einflussreichsten API-Schwachstellen in Bug-Bounty-Programmen.
Wie teste ich GraphQL-APIs anders als REST?
GraphQL erfordert das Testen von Introspection-Queries, Batching-Angriffen für Rate-Limit-Bypass, verschachtelter Query-DoS und schema-basierter Authorization-Analyse. Die Single-Endpoint-Architektur verändert die Angriffsfläche erheblich.
Was sollte ich tun, wenn ich eine kritische API-Schwachstelle finde?
Dokumentieren Sie die Schwachstelle mit klaren Reproduktionsschritten, minimieren Sie den Datenzugriff während der Testung und reichen Sie einen verantwortungsvollen Disclosure-Bericht über den geeigneten Kanal ein (Bug-Bounty-Plattform oder Sicherheitskontakt).
Kann mir diese Skill helfen, API-Sicherheit von Grund auf zu lernen?
Diese Skill bietet umfassende Techniken nimmt aber grundlegendes Wissen über HTTP, Web-Sicherheitskonzepte und grundlegende Penetrationstesting-Methodik an. Anfänger sollten mit der OWASP API Security Top 10 Dokumentation beginnen.

تفاصيل المطور

المؤلف

zebbern

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/api-fuzzing-bug-bounty

مرجع

main

بنية الملفات

📄 SKILL.md