API Fuzzing for Bug Bounty
버그 바운티를 위한 마스터 API 보안 테스트
API 취약점은 버그 바운티 프로그램에서 가장 흔하고 치명적인 발견 사항 중 하나입니다. 이 스킬은 REST, GraphQL, SOAP API를 테스트하여 IDOR, 인젝션, 인증 우회 취약점을 발견하기 위한 종합적인 기술을 제공합니다.
스킬 ZIP 다운로드
Claude에서 업로드
설정 → 기능 → 스킬 → 스킬 업로드로 이동
토글을 켜고 사용 시작
테스트해 보기
"API Fuzzing for Bug Bounty" 사용 중입니다. 청구서 엔드포인트에서 IDOR 테스트
예상 결과:
체계적인 IDOR 테스트 접근 방식: (1) /api/v1/invoices/12345에서 자신의 청구서에 접근, (2) ID를 12346으로 증가시키고 응답 관찰, (3) 배열 래핑 테스트 {"id":[12346]}, (4) UUID/GUID 형식 시도, (5) 여러 user_id 값으로 매개변수 오염 테스트
"API Fuzzing for Bug Bounty" 사용 중입니다. GraphQL 인텔리전스 분석
예상 결과:
스키마 분석 결과: User 타입이 권한 부여 없이 email/password/creditCard 필드를 노출합니다. Mutation login()이 SQL 인젝션에 취약합니다. 권장 사항: 프로덕션에서 인텔리전스 비활성화, 필드 수준 권한 부여 구현, 입력 검증 추가
보안 감사
낮은 위험This skill is a markdown documentation file containing educational content about API security testing methodologies. The static analyzer flagged 75 patterns (external commands, network URLs, injection payloads), but all are false positives - they exist within markdown code blocks as instructional examples, not executable code. The content covers legitimate bug bounty techniques including IDOR testing, SQL injection detection, GraphQL security, and authentication bypass methods. Suitable for publication as educational security content for authorized testing engagements.
낮은 위험 문제 (1)
위험 요인
⚙️ 외부 명령어 (1)
🌐 네트워크 접근 (1)
품질 점수
만들 수 있는 것
버그 바운티 헌터 API 테스트
인가된 버그 바운티 프로그램에서 API 취약점을 체계적으로 발견하는 접근 방식으로, IDOR 및 인증 우회와 같은 고Impact 발견 사항에 중점을 둡니다.
침투 테스트 참여 지원
클라이언트 API에 대한 인가된 평가를 수행하는 전문 침투 테스트자가 사용하는 종합적인 API 보안 테스트 방법론입니다.
개발자 보안 교육
개발자가 API 공격 벡터를 이해하고 애플리케이션에 적절한 보안 제어를 구현하기 위한 교육 자료입니다.
이 프롬프트를 사용해 보세요
https://target.com/api/v1에 있는 API 엔드포인트의 보안을 테스트해야 합니다. 잠재적 공격 표면을 식별하고 일반적인 API 취약점에 대한 테스트 체크리스트를 만들어주세요.
/api/v1/users/{id} 엔드포인트를 찾아 사용자를 반환합니다. 매개변수 조작, 배열 인젝션, 우회 방법을 포함한 체계적인 IDOR 테스트 기술을 알려주세요.대상에 인텔리전스가 활성화된 GraphQL 엔드포인트가 있습니다. 스키마의 보안 문제를 분석하고 배치 공격 및 인증 우회를 포함한 일반적인 GraphQL 취약점을 테스트하도록 도와주세요.
JSON 입력을 허용하는 REST API를 테스트하고 있습니다. JSON 필드의 SQL 인젝션, 매개변션을 통한 명령 인젝션, XML 엔드포인트용 XXE 페이로드 등을 포함한 종합적인 인젝션 테스트 전략을 제공해주세요.
모범 사례
- 모든 API 테스트 전에 명시적인 서면 인가를 항상 얻으세요 - 버그 바운티 프로그램을 통해 소유하거나 평가 권한이 있는 시스템만 테스트하세요
- 보안 제어가 버전마다 종종 다르므로 모든 API 버전(v1, v2, v3)을 별도로 테스트하세요
- 재현 가능한 단계, HTTP 요청, 영향 분석이 포함된 명확한 문서로 모든 발견 사항을 문서화하세요
피하기
- 모바일, 웹, 개발자 API가 동일한 보안 제어를 가지고 있다고 가정하지 마세요 - 각 표면을 독립적으로 테스트하세요
- 문서화되지 않은 엔드포인트를 건너뛰지 마세요 - 숨겨진 관리 및 디버그 엔드포인트는 종종 더 약한 보안을 가지고 있습니다
- 레이트 제한 인식 없이 테스트하지 마세요 - 지연을 구현하고 배치된 요청을 책임감 있게 사용하는 것을 고려하세요