api-security-testing
Testen der API-Sicherheit mit strukturierten Workflows
API-Sicherheitstests erfordern eine systematische Abdeckung von Authentifizierung, Autorisierung und Injection-Schwachstellen. Dieser Workflow führt Sie durch sieben umfassende Testphasen mit spezialisierten Sicherheits-Skills.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "api-security-testing". Beginnen Sie mit dem API-Sicherheitstest-Workflow für eine REST API mit 20 Endpunkten
Résultat attendu:
- Phase 1 Abgeschlossen: 20 Endpunkte über 4 Ressourcengruppen entdeckt
- Phase 2 Abgeschlossen: Authentifizierung getestet - JWT-Implementierung sicher
- Phase 3 Abgeschlossen: 2 potenzielle IDOR-Schwachstellen in User-Endpunkten gefunden
- Phase 4 Abgeschlossen: Eingabevalidierungstests identifizierten 1 SQL-Injection-Vektor
- Abschlussbericht: 3 Schwachstellen dokumentiert mit Remediationsschritten
Utilisation de "api-security-testing". Testen Sie GraphQL-Endpunkt auf Sicherheitslücken
Résultat attendu:
- Introspektion: Aktiviert (in Produktion deaktivieren in Betracht ziehen)
- Query-Tiefe: Auf 10 Ebenen begrenzt (sicher)
- Komplexitätsanalyse: Nicht implementiert (Hinzufügen von Limits empfohlen)
- Batch-Queries: Ohne Limits erlaubt (potenzieller DoS-Vektor)
- Empfehlung: Query-Komplexitätslimits und Batch-Einschränkungen implementieren
Audit de sécurité
SûrStatic analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.
Score de qualité
Ce que vous pouvez construire
Bug Bounty API Tests
Sicherheitsforscher testen API-Endpunkte auf Schwachstellen in Bug Bounty Programmen
Sicherheitsüberprüfung durch Entwicklungsteams
Entwicklungsteams validieren die API-Sicherheit vor der Produktionsbereitstellung
Sicherheitsaudit-Workflow
Berater führen umfassende API-Sicherheitsbewertungen für Kunden durch
Essayez ces prompts
Verwenden Sie @api-fuzzing-bug-bounty, um alle API-Endpunkte zu entdecken. Enumerieren Sie Endpunkte, dokumentieren Sie API-Methoden, identifizieren Sie Parameter, bilden Sie Datenflüsse ab und überprüfen Sie die verfügbare Dokumentation.
Verwenden Sie @broken-authentication, um API-Authentifizierungsmechanismen zu testen. Testen Sie API-Key-Validierung, JWT-Token-Handling, OAuth2-Flows, Token-Ablauf und Refresh-Token-Sicherheit.
Verwenden Sie @idor-testing, um API-Autorisierungskontrollen zu testen. Testen Sie Objektebene-Autorisierung, Funktionsebene-Zugriff, rollenbasierte Berechtigungen, Privilegieneskalationspfade und Multi-Tenant-Isolierung.
Verwenden Sie @api-fuzzing-bug-bounty, um die GraphQL-Endpunktsicherheit zu testen. Testen Sie Introspektions-Einstellungen, Query-Tiefe-Limits, Query-Komplexität, Batch-Query-Handling und Field-Suggestion-Exposure.
Bonnes pratiques
- Completing all seven phases systematically ensures comprehensive security coverage across the entire API surface.
- Dokumentieren Sie alle Funde mit Reproduktionsschritten und Schweregradbewertungen
- Testen Sie sowohl Happy Paths als auch Edge Cases für jede Sicherheitskontrolle
Éviter
- Überspringen von Phasen basierend auf Annahmen über die API
- Tests ohne ordnungsgemäße Autorisierung durch API-Betreiber
- Fokus nur auf automatisierte Tests ohne manuelle Verifizierung