api-security-testing
Тестирование безопасности API с использованием структурированных рабочих процессов
Тестирование безопасности API требует систематического охвата уязвимостей аутентификации, авторизации и инъекций. Этот рабочий процесс проведет вас через семь комплексных этапов тестирования с использованием специализированных навыков безопасности.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "api-security-testing". Начать рабочий процесс тестирования безопасности API для REST API с 20 конечными точками
النتيجة المتوقعة:
- Этап 1 завершен: Обнаружено 20 конечных точек в 4 группах ресурсов
- Этап 2 завершен: Аутентификация протестирована - реализация JWT безопасна
- Этап 3 завершен: Найдены 2 потенциальные уязвимости IDOR в пользовательских конечных точках
- Этап 4 завершен: Тестирование валидации входных данных выявило 1 вектор SQL-инъекции
- Итоговый отчет: 3 уязвимости задокументированы с шагами по устранению
استخدام "api-security-testing". Протестировать конечную точку GraphQL на уязвимости безопасности
النتيجة المتوقعة:
- Интроспекция: Включена (рекомендуется отключить в продакшене)
- Глубина запросов: Ограничена 10 уровнями (безопасно)
- Анализ сложности: Не реализован (рекомендуется добавить ограничения)
- Пакетные запросы: Разрешены без ограничений (потенциальный вектор DoS)
- Рекомендация: Реализовать ограничения сложности запросов и пакетных ограничений
التدقيق الأمني
آمنStatic analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.
درجة الجودة
ماذا يمكنك بناءه
Тестирование API в программах Bug Bounty
Исследователи безопасности тестируют конечные точки API на наличие уязвимостей в программах bug bounty
Проверка безопасности командой разработки
Команды разработки проверяют безопасность API перед развертыванием в продакшен
Рабочий процесс аудита безопасности
Консультанты проводят комплексную оценку безопасности API для клиентов
جرّب هذه الموجهات
Use @api-fuzzing-bug-bounty to discover all API endpoints. Enumerate endpoints, document API methods, identify parameters, map data flows, and review available documentation.
Use @broken-authentication to test API authentication mechanisms. Test API key validation, JWT token handling, OAuth2 flows, token expiration, and refresh token security.
Use @idor-testing to test API authorization controls. Test object-level authorization, function-level access, role-based permissions, privilege escalation paths, and multi-tenant isolation.
Use @api-fuzzing-bug-bounty to test GraphQL endpoint security. Test introspection settings, query depth limits, query complexity, batch query handling, and field suggestion exposure.
أفضل الممارسات
- Последовательно пройдите все семь этапов для полного охвата
- Документируйте все обнаруженные уязвимости с шагами воспроизведения и оценкой серьезности
- Тестируйте как стандартные сценарии, так и граничные случаи для каждого механизма безопасности
تجنب
- Пропуск этапов на основе предположений об API
- Тестирование без надлежащей авторизации от владельцев API
- Сосредоточение только на автоматических тестах без ручной проверки
الأسئلة المتكررة
Какие навыки мне нужны для использования этого рабочего процесса?
Могу ли я использовать это для GraphQL API?
Сколько времени занимает полная оценка безопасности API?
Подходит ли это для автоматического сканирования безопасности?
Какая авторизация мне нужна перед тестированием?
Как следует документировать обнаруженные уязвимости?
تفاصيل المطور
المؤلف
sickn33الترخيص
MIT
المستودع
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-testingمرجع
main
بنية الملفات
📄 SKILL.md