المهارات api-security-testing
📦

api-security-testing

آمن

Tester la sécurité API avec des workflows structurés

Les tests de sécurité des API nécessitent une couverture systématique des vulnérabilités d'authentification, d'autorisation et d'injection. Ce workflow vous guide à travers sept phases de test complètes utilisant des compétences de sécurité spécialisées.

يدعم: Claude Codex Code(CC)
📊 70 كافٍ
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "api-security-testing". Démarrer le workflow de test de sécurité API pour une API REST avec 20 endpoints

النتيجة المتوقعة:

  • Phase 1 Terminée : 20 endpoints découverts sur 4 groupes de ressources
  • Phase 2 Terminée : Authentification testée - implémentation JWT sécurisée
  • Phase 3 Terminées : 2 vulnérabilités IDOR potentielles trouvées dans les endpoints utilisateur
  • Phase 4 Terminée : Test de validation des entrées identifié 1 vecteur d'injection SQL
  • Rapport final : 3 vulnérabilités documentées avec les étapes de correction

استخدام "api-security-testing". Tester un endpoint GraphQL pour les vulnérabilités de sécurité

النتيجة المتوقعة:

  • Introspection : Activée (considérer la désactiver en production)
  • Profondeur de requête : Limitée à 10 niveaux (sécurisé)
  • Analyse de complexité : Non implémentée (recommander d'ajouter des limites)
  • Requêtes par lots : Autorisées sans limites (vecteur DoS potentiel)
  • Recommandation : Implémenter des limites de complexité de requête et des restrictions par lots

التدقيق الأمني

آمن
v1 • 2/24/2026

Static analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.

1
الملفات التي تم فحصها
173
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
31
المجتمع
100
الأمان
83
الامتثال للمواصفات

ماذا يمكنك بناءه

Test d'API pour les primes aux bugs

Chercheurs en sécurité testant les endpoints API pour des vulnérabilités dans les programmes de primes aux bugs

Revue de sécurité pour les équipes de développement

Équipes de développement validant la sécurité des API avant le déploiement en production

Workflow d'audit de sécurité

Consultants réalisant des évaluations complètes de sécurité API pour les clients

جرّب هذه الموجهات

Débutant : Découverte d'API 
Utilisez @api-fuzzing-bug-bounty pour découvrir tous les endpoints API. Énumérez les endpoints, documentez les méthodes API, identifiez les paramètres, cartographiez les flux de données et examinez la documentation disponible.
Intermédiaire : Test d'authentification 
Utilisez @broken-authentication pour tester les mécanismes d'authentification des API. Testez la validation des clés API, la gestion des jetons JWT, les flux OAuth2, l'expiration des jetons et la sécurité des jetons de rafraîchissement.
Avancé : Test d'autorisation 
Utilisez @idor-testing pour tester les contrôles d'autorisation des API. Testez l'autorisation au niveau objet, l'accès au niveau fonction, les permissions basées sur les rôles, les chemins d'élévation de privilèges et l'isolement multi-tenant.
Expert : Sécurité GraphQL 
Utilisez @api-fuzzing-bug-bounty pour tester la sécurité des endpoints GraphQL. Testez les paramètres d'introspection, les limites de profondeur de requête, la complexité des requêtes, la gestion des requêtes par lots et l'exposition des suggestions de champs.

أفضل الممارسات

  • Complétez systématiquement les sept phases pour une couverture complète
  • Documentez toutes les découvertes avec les étapes de reproduction et les niveaux de sévérité
  • Testez les chemins heureux et les cas limites pour chaque contrôle de sécurité

تجنب

  • Passer des phases basées sur des suppositions sur l'API
  • Tester sans autorisation appropriée des propriétaires de l'API
  • Se concentrer uniquement sur les tests automatisés sans vérification manuelle

الأسئلة المتكررة

Quelles compétences dois-je utiliser pour ce workflow ?
Ce workflow référence api-fuzzing-bug-bounty, broken-authentication, idor-testing, sql-injection-testing et api-security-best-practices. Chaque phase invoque des compétences spécifiques pour des tests ciblés.
Puis-je l'utiliser pour les API GraphQL ?
Oui, la phase 6 couvre spécifiquement les tests de sécurité GraphQL incluant l'introspection, la profondeur de requête, l'analyse de complexité et les vulnérabilités des requêtes par lots.
Combien de temps prend une évaluation complète de sécurité API ?
Le temps d'évaluation varie selon la complexité de l'API. Les petites API (10-20 endpoints) peuvent prendre 2-4 heures. Les API plus grandes peuvent nécessiter plusieurs jours complets à travers plusieurs sessions de test.
Est-ce adapté pour le scan de sécurité automatisé ?
Ce workflow est conçu pour les tests de sécurité manuels avec assistance IA. Pour le scan automatisé, considerz des outils de scan de sécurité dédiés en plus de ce workflow.
Quelle autorisation ai-je besoin avant de tester ?
Testez uniquement les API que vous possédez ou pour lesquelles vous avez une autorisation écrite explicite. Les tests de sécurité non autorisés peuvent violer les conditions d'utilisation et les lois applicables.
Comment dois-je documenter les vulnérabilités trouvées ?
Documentez chaque vulnérabilité avec : description, endpoint affecté, étapes de reproduction, impact potentiel, niveau de sévérité et correction recommandée. Incluez des preuves comme des exemples de requêtes/réponses.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-testing

مرجع

main

بنية الملفات

📄 SKILL.md