api-security-testing
Tester la sécurité API avec des workflows structurés
Les tests de sécurité des API nécessitent une couverture systématique des vulnérabilités d'authentification, d'autorisation et d'injection. Ce workflow vous guide à travers sept phases de test complètes utilisant des compétences de sécurité spécialisées.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "api-security-testing". Démarrer le workflow de test de sécurité API pour une API REST avec 20 endpoints
Résultat attendu:
- Phase 1 Terminée : 20 endpoints découverts sur 4 groupes de ressources
- Phase 2 Terminée : Authentification testée - implémentation JWT sécurisée
- Phase 3 Terminées : 2 vulnérabilités IDOR potentielles trouvées dans les endpoints utilisateur
- Phase 4 Terminée : Test de validation des entrées identifié 1 vecteur d'injection SQL
- Rapport final : 3 vulnérabilités documentées avec les étapes de correction
Utilisation de "api-security-testing". Tester un endpoint GraphQL pour les vulnérabilités de sécurité
Résultat attendu:
- Introspection : Activée (considérer la désactiver en production)
- Profondeur de requête : Limitée à 10 niveaux (sécurisé)
- Analyse de complexité : Non implémentée (recommander d'ajouter des limites)
- Requêtes par lots : Autorisées sans limites (vecteur DoS potentiel)
- Recommandation : Implémenter des limites de complexité de requête et des restrictions par lots
Audit de sécurité
SûrStatic analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.
Score de qualité
Ce que vous pouvez construire
Test d'API pour les primes aux bugs
Chercheurs en sécurité testant les endpoints API pour des vulnérabilités dans les programmes de primes aux bugs
Revue de sécurité pour les équipes de développement
Équipes de développement validant la sécurité des API avant le déploiement en production
Workflow d'audit de sécurité
Consultants réalisant des évaluations complètes de sécurité API pour les clients
Essayez ces prompts
Utilisez @api-fuzzing-bug-bounty pour découvrir tous les endpoints API. Énumérez les endpoints, documentez les méthodes API, identifiez les paramètres, cartographiez les flux de données et examinez la documentation disponible.
Utilisez @broken-authentication pour tester les mécanismes d'authentification des API. Testez la validation des clés API, la gestion des jetons JWT, les flux OAuth2, l'expiration des jetons et la sécurité des jetons de rafraîchissement.
Utilisez @idor-testing pour tester les contrôles d'autorisation des API. Testez l'autorisation au niveau objet, l'accès au niveau fonction, les permissions basées sur les rôles, les chemins d'élévation de privilèges et l'isolement multi-tenant.
Utilisez @api-fuzzing-bug-bounty pour tester la sécurité des endpoints GraphQL. Testez les paramètres d'introspection, les limites de profondeur de requête, la complexité des requêtes, la gestion des requêtes par lots et l'exposition des suggestions de champs.
Bonnes pratiques
- Complétez systématiquement les sept phases pour une couverture complète
- Documentez toutes les découvertes avec les étapes de reproduction et les niveaux de sévérité
- Testez les chemins heureux et les cas limites pour chaque contrôle de sécurité
Éviter
- Passer des phases basées sur des suppositions sur l'API
- Tester sans autorisation appropriée des propriétaires de l'API
- Se concentrer uniquement sur les tests automatisés sans vérification manuelle