スキル api-mitmproxy
📦
api-mitmproxy
高リスク ⚙️
外部コマンド🌐
ネットワークアクセス📁
ファイルシステムへのアクセス🔑
環境変数⚡
スクリプトを含む
APIトラフィックの傍受と分析
APIチームには、暗号化されたクライアントトラフィックを制御された形で可視化する必要があります。このスキルは、許可されたセキュリティテストのために、mitmproxyのセットアップ、キャプチャ、リプレイ、レポート作成をガイドします。
対応: Claude Codex Code(CC)
1
スキルZIPをダウンロード
2
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
3
オンにして利用開始
Agent向けリソース
AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。
テストする
「api-mitmproxy」を使用しています。 モバイルAPI傍受ワークフローのリクエスト
期待される結果:
プロキシ設定、証明書の信頼、トラフィックキャプチャ、エンドポイント一覧、認可チェック、証拠の取り扱いを網羅した段階的なテスト計画。
「api-mitmproxy」を使用しています。 ステージングAPIからのキャプチャ済みトラフィック概要
期待される結果:
影響を受けるエンドポイント、リスクの根拠、再現手順、修正ガイダンスを含む、優先順位付けされた検出事項リスト。
「api-mitmproxy」を使用しています。 API認可の回帰チェックを自動化する必要がある
期待される結果:
スコープを限定したテストケース、トークンの秘匿化ルール、アーティファクト保持、CI安全制御を含むmitmdump自動化設計。
セキュリティ監査
高リスクv6 • 6/28/2026
The static findings are mostly documentation and template examples, not hidden executable payloads. However, the skill provides high-impact dual-use guidance for HTTPS interception, credential capture, certificate pinning bypass, exposed proxy listeners, request modification, and copied CI command execution patterns. No prompt injection attempt or confirmed malicious marketplace behavior was found, but publication should require stricter safeguards and warnings.
5
スキャンされたファイル
2,004
解析された行数
12
検出結果
6
総監査数
高リスクの問題 (2)
Dual-use HTTPS interception and credential capture guidance
The skill teaches users to proxy client traffic, install mitmproxy certificates, bypass certificate pinning, capture authorization headers, and modify requests. This is legitimate for authorized testing, but it can also enable unauthorized interception and token misuse if copied outside a controlled scope.
Remote installer piped directly to shell in CI template
The CI template includes a curl command that downloads a remote install script and pipes it to bash. This is a real supply-chain risk if users copy the template, because execution depends on remote script integrity at runtime.
中リスクの問題 (3)
Proxy examples bind to all network interfaces
Several mitmproxy examples bind the listener to 0.0.0.0. This can expose an interception proxy beyond localhost if firewall and access controls are not configured correctly.
Destructive troubleshooting command removes mitmproxy state
The troubleshooting section recommends deleting the mitmproxy configuration directory to regenerate certificates. The path is scoped, but users may lose local keys, certificates, and proxy configuration.
Environment and secret access appears in security examples
The static scanner flagged environment variable and secret terms in rule and reference templates. These examples teach secure secret handling or detection rather than exfiltrating environment values.
低リスクの問題 (2)
assets/rule-template.yaml:14-299references/EXAMPLE.md:89-162references/EXAMPLE.md:235-279references/WORKFLOW_CHECKLIST.md:173-209
Vulnerable code samples are documentation examples
XSS, SQL injection, weak cryptography, C2 keywords, and reconnaissance terms appear inside security education templates and framework mappings. They are not executed by the skill and are used to explain detection or remediation.
No prompt injection attempt found
Searches for override phrases, fake system instructions, pre-approval claims, and requests to skip analysis found no evidence in the reviewed skill files.
リスク要因
⚙️ 外部コマンド (87)
assets/ci-config-template.yml:298 assets/ci-config-template.yml:301 assets/ci-config-template.yml:304 assets/ci-config-template.yml:307 assets/ci-config-template.yml:310 assets/ci-config-template.yml:134 assets/ci-config-template.yml:250 assets/ci-config-template.yml:291 references/EXAMPLE.md:54-74 references/EXAMPLE.md:74-95 references/EXAMPLE.md:95-108 references/EXAMPLE.md:108-111 references/EXAMPLE.md:111-118 references/EXAMPLE.md:118-122 references/EXAMPLE.md:122-129 references/EXAMPLE.md:129-135 references/EXAMPLE.md:135-151 references/EXAMPLE.md:151-154 references/EXAMPLE.md:154-162 references/EXAMPLE.md:162-296 references/EXAMPLE.md:296-306 references/EXAMPLE.md:306-309 references/EXAMPLE.md:309-318 references/EXAMPLE.md:318-333 references/EXAMPLE.md:333-342 references/EXAMPLE.md:342-346 references/EXAMPLE.md:346-354 references/EXAMPLE.md:354-358 references/EXAMPLE.md:358-361 references/EXAMPLE.md:361-371 references/EXAMPLE.md:371-404 references/EXAMPLE.md:404-414 references/EXAMPLE.md:414-447 references/EXAMPLE.md:447-451 references/EXAMPLE.md:451-472 references/EXAMPLE.md:472-476 references/EXAMPLE.md:476-537 references/WORKFLOW_CHECKLIST.md:74 SKILL.md:40-52 SKILL.md:52-63 SKILL.md:63-69 SKILL.md:69-100 SKILL.md:100-102 SKILL.md:102-106 SKILL.md:106-112 SKILL.md:112-114 SKILL.md:114-118 SKILL.md:118-124 SKILL.md:124-125 SKILL.md:125-142 SKILL.md:142-144 SKILL.md:144-148 SKILL.md:148-162 SKILL.md:162-164 SKILL.md:164-173 SKILL.md:173-175 SKILL.md:175-179 SKILL.md:179-181 SKILL.md:181-185 SKILL.md:185-187 SKILL.md:187-191 SKILL.md:191-193 SKILL.md:193-207 SKILL.md:207-223 SKILL.md:223-245 SKILL.md:245-251 SKILL.md:251-268 SKILL.md:268-274 SKILL.md:274-295 SKILL.md:295-301 SKILL.md:301-317 SKILL.md:317-320 SKILL.md:320-322 SKILL.md:322-347 SKILL.md:347-360 SKILL.md:360-378 SKILL.md:378-390 SKILL.md:390-396 SKILL.md:396-402 SKILL.md:402-408 SKILL.md:408-422 SKILL.md:422-429 SKILL.md:429-436 SKILL.md:436-449 SKILL.md:449-454 SKILL.md:454-459 SKILL.md:459-462
🌐 ネットワークアクセス (39)
assets/ci-config-template.yml:240 assets/rule-template.yaml:43 assets/rule-template.yaml:44 assets/rule-template.yaml:45 assets/rule-template.yaml:73 assets/rule-template.yaml:118 assets/rule-template.yaml:119 assets/rule-template.yaml:151 assets/rule-template.yaml:191 assets/rule-template.yaml:192 assets/rule-template.yaml:193 assets/rule-template.yaml:217 assets/rule-template.yaml:260 assets/rule-template.yaml:261 assets/rule-template.yaml:288 SKILL.md:129 SKILL.md:231 SKILL.md:256 SKILL.md:280 SKILL.md:20 SKILL.md:21 SKILL.md:47 SKILL.md:163 SKILL.md:186 SKILL.md:192 SKILL.md:202 SKILL.md:353 SKILL.md:354 SKILL.md:481 SKILL.md:482 SKILL.md:483 SKILL.md:484 SKILL.md:47 SKILL.md:65 SKILL.md:68 SKILL.md:163 SKILL.md:443 SKILL.md:353 SKILL.md:354
📁 ファイルシステムへのアクセス (11)
🔑 環境変数 (27)
assets/ci-config-template.yml:164 assets/ci-config-template.yml:164 assets/rule-template.yaml:148 assets/rule-template.yaml:148 assets/rule-template.yaml:147 assets/rule-template.yaml:162 assets/rule-template.yaml:132 assets/rule-template.yaml:147 assets/rule-template.yaml:148 assets/rule-template.yaml:156 assets/rule-template.yaml:157 assets/rule-template.yaml:162 assets/rule-template.yaml:162 assets/rule-template.yaml:163 assets/rule-template.yaml:164 assets/rule-template.yaml:165 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:424 references/EXAMPLE.md:425 references/EXAMPLE.md:427 references/EXAMPLE.md:430 references/EXAMPLE.md:432 references/EXAMPLE.md:437 references/EXAMPLE.md:437 references/EXAMPLE.md:444
⚡ スクリプトを含む (2)
検出されたパターン
Certificate pinning bypass workflowAuthorization header capture and request mutationRemote script execution through curl pipe bashAll-interface proxy binding
監査者: codex 監査履歴を表示 →
品質スコア
55
アーキテクチャ
100
保守性
87
コンテンツ
70
コミュニティ
0
セキュリティ
91
仕様準拠
作れるもの
モバイルAPIトラフィックのレビュー
mitmproxyを介してテストデバイスを設定し、アプリのリクエストを検査して、APIの認証または認可の問題を文書化します。
クライアントAPI動作のデバッグ
クライアントからのリクエストをキャプチャし、フローをリプレイして、統合デバッグ中にヘッダー、本文、ステータスコードを比較します。
APIセキュリティチェックの自動化
mitmdumpスクリプトとCIテンプレートを使用してトラフィックを記録し、選択した制御をテストして、レポート用の証拠をエクスポートします。
これらのプロンプトを試す
基本的なキャプチャのセットアップ
ローカルのテストアプリケーションからHTTPS APIトラフィックをキャプチャするためにmitmproxyを設定する方法を手伝ってください。証明書のセットアップと安全な保存手順を含めてください。
キャプチャ済みリクエストの分析
キャプチャしたAPIフローの概要をレビューし、認証、認可、入力検証、機密データの取り扱いに関する懸念点を特定してください。
テストアドオンの設計
トークンや個人データを露出させずに、このステージングAPIの認可境界をテストするためのmitmproxy Pythonアドオン計画を設計してください。
CIワークフローの構築
mitmdump経由でAPIテストを実行し、アーティファクトを安全に保存し、リモートシェルインストーラーを避ける安全なCIワークフロー計画を作成してください。
ベストプラクティス
- テストが明示的に許可されているシステムでのみ、このスキルを使用してください。
- キャプチャされたフローには認証情報や個人データが含まれる可能性があるため、秘匿化または暗号化してください。
- リモートデバイスからのアクセスが必要で、ファイアウォール制御が整っている場合を除き、プロキシリスナーはlocalhostにバインドしてください。
回避
- 書面による許可なしに、本番環境または第三者のトラフィックを傍受しないでください。
- フローキャプチャ、HARファイル、プロキシ証明書、トークンをバージョン管理にコミットしないでください。
- ダウンロードしたアーティファクトを固定および検証せずに、pipe-to-shell形式のCIインストールコマンドをコピーしないでください。
よくある質問
このスキルはmitmproxyを自動的に実行しますか?
いいえ。ユーザーが許可された環境で実行する必要があるコマンド、ワークフロー、例を提供します。
HTTPSトラフィックを検査できますか?
はい。クライアントがmitmproxy証明書を信頼している必要があり、テストは許可されている必要があります。
モバイルアプリケーションをテストできますか?
はい。プロキシ設定、証明書インストール、ピンニングの制約、モバイルAPIレビューのワークフローを扱います。
使用中に保護すべきデータは何ですか?
キャプチャされたフローには、トークン、認証情報、Cookie、個人データ、業務記録が含まれる可能性があります。
マーケットプレイスのリスクレベルが高いのはなぜですか?
このスキルは、傍受、トークンキャプチャ、リクエスト変更、証明書ピンニングのバイパスを教えるものであり、これらは機微なデュアルユース技術です。
悪意のある意図は確認されていますか?
いいえ。このコンテンツは許可されたセキュリティテスト向けに構成されていますが、それでも厳格な公開管理が必要です。