api-fuzzing-bug-bounty
Fuzzer les APIs pour le Bug Bounty
Les APIs contiennent souvent des vulnérabilités de sécurité que les attaquants peuvent exploiter. Cette compétence enseigne des techniques complètes de fuzzing d'API afin que vous puissiez identifier les failles IDOR, les injections et les contournements d'authentification lors de la chasse aux bugs autorisée.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "api-fuzzing-bug-bounty". Help me test for IDOR on /api/v1/invoices/{invoice_id}
Résultat attendu:
IDOR Testing Guide:
1. First, access your own invoice to establish baseline
2. Try incrementing the ID: /api/v1/invoices/12345 → /api/v1/invoices/12346
3. Test bypass techniques:
- Wrap ID in array: {"id":[12345]}
- JSON wrapper: {"id":{"id":12345}}
- Parameter pollution: ?invoice_id=12345&invoice_id=12346
4. Test different user contexts if you have multiple accounts
5. Check for horizontal and vertical IDOR (different privilege access)
Utilisation de "api-fuzzing-bug-bounty". What SQL injection payloads work in JSON API requests?
Résultat attendu:
JSON SQL Injection Payloads:
Basic tests:
- {"id":"1' OR '1'='1"}
- {"id":"1; DROP TABLE users--"}
Boolean-based:
- {"id":"1 AND 1=1"}
- {"id":"1 AND 1=2"}
Time-based (blind):
- {"id":"1 AND sleep(5)--"}
- {"id":"1'; WAITFOR DELAY '0:0:5'--"}
Error-based:
- {"id":"1' AND extractvalue(1,concat(0x7e,version()))--"}
Audit de sécurité
SûrAll 76 static findings are false positives. The skill is documentation for authorized security testing (bug bounty/penetration testing). The detected patterns are legitimate testing methodologies: command examples for API fuzzing, example URLs for target testing, and documented vulnerability test payloads (XXE, LFI, SSRF). This is standard security education content for authorized testing workflows.
Problèmes critiques (2)
Problèmes à risque élevé (1)
Facteurs de risque
⚙️ Commandes externes (48)
Score de qualité
Ce que vous pouvez construire
Chasseur de Bug Bounty Teste une API Cible
Un chercheur en bug bounty utilise cette compétence pour tester systématiquement l'API d'un programme pour des vulnérabilités. Il suit le workflow de test IDOR, les techniques d'injection et les méthodes de test GraphQL pour trouver des problèmes de sécurité valides.
Testeur en Pénétration Évalue la Sécurité d'une API
Un testeur en pénétration professionnel utilise cette compétence pendant une mission pour auditer les APIs d'un client. La compétence fournit une checklist complète et une méthodologie pour tester les contrôles de sécurité des APIs.
Développeur Apprend la Sécurité des APIs
Un développeur de logiciels utilise cette compétence pour comprendre les vulnérabilités courantes des APIs. Cela l'aide à écrire du code plus sécurisé et à mieux comprendre comment se défendre contre les techniques d'attaque documentées ici.
Essayez ces prompts
Help me test a REST API endpoint for security vulnerabilities. The endpoint is /api/v1/users/{id} and uses Bearer token authentication. What are the main vulnerability categories I should test for?Show me how to test for IDOR vulnerabilities on an API that returns user profile data. The API uses /api/users/{user_id} endpoint. I want to test if I can access other users' profiles.I need to audit a GraphQL API for security issues. The endpoint is /graphql. What GraphQL-specific attacks should I test for, and how do I check if introspection is enabled?
I have authorization to test an API at https://api.example.com. Create a comprehensive testing plan covering reconnaissance, authentication testing, IDOR, injection, and bypass techniques. Include specific payloads for each test category.
Bonnes pratiques
- Toujours obtenir une autorisation écrite avant de tester toute API que vous ne possédez pas
- Tester sur des environnements de non-production lorsque disponibles pour éviter de perturber les services
- Documenter toutes les découvertes avec des requêtes et réponses de preuve de concept pour les rapports de bugs
- Utiliser la limitation de débit et le throttling pour éviter de submerger les APIs cibles pendant les tests
Éviter
- Ne pas tester les APIs de production sans autorisation explicite du propriétaire
- Ne pas utiliser de techniques de scanning agressives qui pourraient causer un déni de service
- Ne pas supposer que tous les endpoints ont les mêmes contrôles de sécurité - tester chacun séparément
- Ne pas ignorer la limitation de débit - respecter la cible et faire preuve de retenue lorsque les limites sont atteintes