المهارات api-security-testing
📦

api-security-testing

آمن

Testen der API-Sicherheit mit strukturierten Workflows

API-Sicherheitstests erfordern eine systematische Abdeckung von Authentifizierung, Autorisierung und Injection-Schwachstellen. Dieser Workflow führt Sie durch sieben umfassende Testphasen mit spezialisierten Sicherheits-Skills.

يدعم: Claude Codex Code(CC)
📊 70 كافٍ
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "api-security-testing". Beginnen Sie mit dem API-Sicherheitstest-Workflow für eine REST API mit 20 Endpunkten

النتيجة المتوقعة:

  • Phase 1 Abgeschlossen: 20 Endpunkte über 4 Ressourcengruppen entdeckt
  • Phase 2 Abgeschlossen: Authentifizierung getestet - JWT-Implementierung sicher
  • Phase 3 Abgeschlossen: 2 potenzielle IDOR-Schwachstellen in User-Endpunkten gefunden
  • Phase 4 Abgeschlossen: Eingabevalidierungstests identifizierten 1 SQL-Injection-Vektor
  • Abschlussbericht: 3 Schwachstellen dokumentiert mit Remediationsschritten

استخدام "api-security-testing". Testen Sie GraphQL-Endpunkt auf Sicherheitslücken

النتيجة المتوقعة:

  • Introspektion: Aktiviert (in Produktion deaktivieren in Betracht ziehen)
  • Query-Tiefe: Auf 10 Ebenen begrenzt (sicher)
  • Komplexitätsanalyse: Nicht implementiert (Hinzufügen von Limits empfohlen)
  • Batch-Queries: Ohne Limits erlaubt (potenzieller DoS-Vektor)
  • Empfehlung: Query-Komplexitätslimits und Batch-Einschränkungen implementieren

التدقيق الأمني

آمن
v1 • 2/24/2026

Static analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.

1
الملفات التي تم فحصها
173
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
31
المجتمع
100
الأمان
83
الامتثال للمواصفات

ماذا يمكنك بناءه

Bug Bounty API Tests

Sicherheitsforscher testen API-Endpunkte auf Schwachstellen in Bug Bounty Programmen

Sicherheitsüberprüfung durch Entwicklungsteams

Entwicklungsteams validieren die API-Sicherheit vor der Produktionsbereitstellung

Sicherheitsaudit-Workflow

Berater führen umfassende API-Sicherheitsbewertungen für Kunden durch

جرّب هذه الموجهات

Einsteiger: API-Entdeckung 
Verwenden Sie @api-fuzzing-bug-bounty, um alle API-Endpunkte zu entdecken. Enumerieren Sie Endpunkte, dokumentieren Sie API-Methoden, identifizieren Sie Parameter, bilden Sie Datenflüsse ab und überprüfen Sie die verfügbare Dokumentation.
Fortgeschritten: Authentifizierungstests 
Verwenden Sie @broken-authentication, um API-Authentifizierungsmechanismen zu testen. Testen Sie API-Key-Validierung, JWT-Token-Handling, OAuth2-Flows, Token-Ablauf und Refresh-Token-Sicherheit.
Experte: Autorisierungstests 
Verwenden Sie @idor-testing, um API-Autorisierungskontrollen zu testen. Testen Sie Objektebene-Autorisierung, Funktionsebene-Zugriff, rollenbasierte Berechtigungen, Privilegieneskalationspfade und Multi-Tenant-Isolierung.
Experte: GraphQL-Sicherheit 
Verwenden Sie @api-fuzzing-bug-bounty, um die GraphQL-Endpunktsicherheit zu testen. Testen Sie Introspektions-Einstellungen, Query-Tiefe-Limits, Query-Komplexität, Batch-Query-Handling und Field-Suggestion-Exposure.

أفضل الممارسات

  • Completing all seven phases systematically ensures comprehensive security coverage across the entire API surface.
  • Dokumentieren Sie alle Funde mit Reproduktionsschritten und Schweregradbewertungen
  • Testen Sie sowohl Happy Paths als auch Edge Cases für jede Sicherheitskontrolle

تجنب

  • Überspringen von Phasen basierend auf Annahmen über die API
  • Tests ohne ordnungsgemäße Autorisierung durch API-Betreiber
  • Fokus nur auf automatisierte Tests ohne manuelle Verifizierung

الأسئلة المتكررة

Welche Skills benötige ich für diesen Workflow?
Dieser Workflow referenziert api-fuzzing-bug-bounty, broken-authentication, idor-testing, sql-injection-testing und api-security-best-practices. Jede Phase ruft spezifische Skills für gezielte Tests auf.
Kann ich dies für GraphQL APIs verwenden?
Ja, Phase 6 deckt speziell GraphQL-Sicherheitstests ab, einschließlich Introspektion, Query-Tiefe, Komplexitätsanalyse und Batch-Query-Schwachstellen.
Wie lange dauert eine vollständige API-Sicherheitsbewertung?
Die Bewertungsdauer variiert je nach API-Komplexität. Kleine APIs (10-20 Endpunkte) können 2-4 Stunden dauern. Größere APIs können volle Tage über mehrere Testsitzungen erfordern.
Ist dies für automatisierte Sicherheits-Scans geeignet?
Dieser Workflow ist für manuelle Sicherheitstests mit KI-Unterstützung konzipiert. Für automatisierte Scans ziehen Sie dedizierte Sicherheits-Scan-Tools zusätzlich zu diesem Workflow in Betracht.
Welche Autorisierung benötige ich vor den Tests?
Testen Sie nur APIs, die Ihnen gehören oder für die Sie eine explizite schriftliche Erlaubnis zum Testen haben. Nicht autorisierte Sicherheitstests können die Nutzungsbedingungen und geltende Gesetze verletzen.
Wie soll ich gefundene Schwachstellen dokumentieren?
Dokumentieren Sie jede Schwachstelle mit: Beschreibung, betroffener Endpunkt, Reproduktionsschritte, potenzielle Auswirkungen, Schweregradbewertung und empfohlene Remediation. Fügen Sie Beweise wie Request/Response-Beispiele hinzu.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-testing

مرجع

main

بنية الملفات

📄 SKILL.md