المهارات api-security-testing
📦

api-security-testing

آمن

Teste a Segurança de API com Fluxos de Trabalho Estruturados

O teste de segurança de API requer cobertura sistemática de autenticação, autorização e vulnerabilidades de injeção. Este fluxo orienta você através de sete fases abrangentes de teste usando habilidades de segurança especializadas.

يدعم: Claude Codex Code(CC)
🥉 73 برونزي
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "api-security-testing". Iniciar fluxo de teste de segurança de API para uma API REST com 20 endpoints

النتيجة المتوقعة:

  • Fase 1 Concluída: 20 endpoints descobertos em 4 grupos de recursos
  • Fase 2 Concluída: Autenticação testada - implementação JWT segura
  • Fase 3 Concluída: Encontradas 2 vulnerabilidades IDOR potenciais em endpoints de usuário
  • Fase 4 Concluída: Teste de validação de entrada identificou 1 vetor de injeção SQL
  • Relatório Final: 3 vulnerabilidades documentadas com etapas de correção

استخدام "api-security-testing". Testar endpoint GraphQL para vulnerabilidades de segurança

النتيجة المتوقعة:

  • Introspecção: Ativada (considere desativar em produção)
  • Profundidade de Consulta: Limitada a 10 níveis (seguro)
  • Análise de Complexidade: Não implementada (recomenda-se adicionar limites)
  • Consultas em Lote: Permitidas sem limites (vetor DoS potencial)
  • Recomendação: Implementar limites de complexidade de consulta e restrições de lote

التدقيق الأمني

آمن
v1 • 2/24/2026

Static analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.

1
الملفات التي تم فحصها
173
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
50
المجتمع
100
الأمان
83
الامتثال للمواصفات

ماذا يمكنك بناءه

Teste de API para Bug Bounty

Pesquisadores de segurança testando endpoints de API para vulnerabilidades em programas de bug bounty

Revisão de Segurança da Equipe de Desenvolvimento

Equipes de desenvolvimento validando a segurança da API antes da implantação em produção

Fluxo de Auditoria de Segurança

Consultores realizando avaliações abrangentes de segurança de API para clientes

جرّب هذه الموجهات

Iniciante: Descoberta de API 
Use @api-fuzzing-bug-bounty para descobrir todos os endpoints de API. Enumere endpoints, documente métodos da API, identifique parâmetros, mapeie fluxos de dados e revise a documentação disponível.
Intermediário: Teste de Autenticação 
Use @broken-authentication para testar mecanismos de autenticação de API. Teste validação de chave de API, manipulação de token JWT, fluxos OAuth2, expiração de token e segurança de token de atualização.
Avançado: Teste de Autorização 
Use @idor-testing para testar controles de autorização de API. Teste autorização em nível de objeto, acesso em nível de função, permissões baseadas em função, caminhos de escalonamento de privilégios e isolamento multi-inquilino.
Especialista: Segurança GraphQL 
Use @api-fuzzing-bug-bounty para testar segurança de endpoint GraphQL. Teste configurações de introspecção, limites de profundidade de consulta, complexidade de consulta, manipulação de consulta em lote e exposição de sugestão de campo.

أفضل الممارسات

  • Complete todas as sete fases sistematicamente para cobertura abrangente
  • Documente todas as descobertas com etapas de reprodução e classificações de severidade
  • Teste tanto caminhos felizes quanto casos extremos para cada controle de segurança

تجنب

  • Pular fases com base em suposições sobre a API
  • Testar sem autorização adequada dos proprietários da API
  • Focar apenas em testes automatizados sem verificação manual

الأسئلة المتكررة

Quais habilidades eu preciso para usar este fluxo?
Este fluxo referencia api-fuzzing-bug-bounty, broken-authentication, idor-testing, sql-injection-testing e api-security-best-practices. Cada fase invoca habilidades específicas para teste direcionado.
Posso usar isso para APIs GraphQL?
Sim, a Fase 6 cobre especificamente testes de segurança GraphQL incluindo introspecção, profundidade de consulta, análise de complexidade e vulnerabilidades de consulta em lote.
Quanto tempo leva uma avaliação completa de segurança de API?
O tempo de avaliação varia conforme a complexidade da API. APIs pequenas (10-20 endpoints) podem levar 2-4 horas. APIs maiores podem exigir dias completos em várias sessões de teste.
Isso é adequado para varredura de segurança automatizada?
Este fluxo é projetado para testes de segurança manuais com assistência de IA. Para varredura automatizada, considere ferramentas dedicadas de varredura de segurança além deste fluxo.
Que autorização eu preciso antes de testar?
Teste apenas APIs que você possui ou tem permissão explícita por escrito para testar. Testes de segurança não autorizados podem violar termos de serviço e leis aplicáveis.
Como devo documentar vulnerabilidades encontradas?
Documente cada vulnerabilidade com: descrição, endpoint afetado, etapas de reprodução, impacto potencial, classificação de severidade e correção recomendada. Inclua evidências como amostras de solicitação/resposta.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-testing

مرجع

main

بنية الملفات

📄 SKILL.md