Habilidades api-security-testing
📦

api-security-testing

Seguro

使用结构化工作流测试 API 安全性

API 安全测试需要对认证、授权和注入漏洞进行系统性的覆盖。本工作流将指导您使用专业安全技能完成七个全面的测试阶段。

Soporta: Claude Codex Code(CC)
📊 69 Adecuado
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "api-security-testing". 为包含 20 个端点的 REST API 开始 API 安全测试工作流

Resultado esperado:

  • 阶段 1 完成:在 4 个资源组中发现 20 个端点
  • 阶段 2 完成:认证测试 - JWT 实现安全
  • 阶段 3 完成:在用户端点中发现 2 个潜在 IDOR 漏洞
  • 阶段 4 完成:输入验证测试识别出 1 个 SQL 注入向量
  • 最终报告:记录了 3 个漏洞及修复步骤

Usando "api-security-testing". 测试 GraphQL 端点的安全漏洞

Resultado esperado:

  • 内省:已启用(考虑在生产环境中禁用)
  • 查询深度:限制为 10 层(安全)
  • 复杂性分析:未实现(建议添加限制)
  • 批量查询:允许无限制(潜在 DoS 向量)
  • 建议:实现查询复杂性限制和批量限制

Auditoría de seguridad

Seguro
v1 • 2/24/2026

Static analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.

1
Archivos escaneados
173
Líneas analizadas
0
hallazgos
1
Auditorías totales
No se encontraron problemas de seguridad
Auditado por: claude

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
87
Contenido
22
Comunidad
100
Seguridad
83
Cumplimiento de la especificación

Lo que puedes crear

漏洞赏金 API 测试

安全研究人员在漏洞赏金计划中测试 API 端点漏洞

开发团队安全审查

开发团队在生产部署前验证 API 安全性

安全审计工作流

顾问为客户执行全面的 API 安全评估

Prueba estos prompts

初学者:API 发现 
使用 @api-fuzzing-bug-bounty 发现所有 API 端点。枚举端点、记录 API 方法、识别参数、映射数据流,并审查可用文档。
中级:认证测试 
使用 @broken-authentication 测试 API 认证机制。测试 API 密钥验证、JWT 令牌处理、OAuth2 流程、令牌过期和刷新令牌安全性。
高级:授权测试 
使用 @idor-testing 测试 API 授权控制。测试对象级授权、函数级访问、基于角色的权限、权限提升路径和多租户隔离。
专家级:GraphQL 安全 
使用 @api-fuzzing-bug-bounty 测试 GraphQL 端点安全性。测试内省设置、查询深度限制、查询复杂性、批量查询处理和字段建议暴露。

Mejores prácticas

  • 系统性地完成所有七个阶段以实现全面覆盖
  • 记录所有发现,包括复现步骤和严重程度评级
  • 对每个安全控制同时测试正常路径和边界情况

Evitar

  • 基于对 API 的假设跳过某些阶段
  • 在没有获得 API 所有者适当授权的情况下进行测试
  • 仅关注自动化测试而没有手动验证

Preguntas frecuentes

我需要什么技能来使用此工作流?
此工作流引用 api-fuzzing-bug-bounty、broken-authentication、idor-testing、sql-injection-testing 和 api-security-best-practices。每个阶段调用特定技能进行针对性测试。
我可以将此用于 GraphQL API 吗?
可以,第 6 阶段专门涵盖 GraphQL 安全测试,包括内省、查询深度、复杂性分析和批量查询漏洞。
完整的 API 安全评估需要多长时间?
评估时间因 API 复杂性而异。小型 API(10-20 个端点)可能需要 2-4 小时。大型 API 可能需要跨多个测试会话的完整天数。
这适合自动化安全扫描吗?
此工作流专为 AI 辅助的手动安全测试而设计。对于自动化扫描,请考虑在此工作流之外使用专用的安全扫描工具。
测试前我需要什么授权?
仅测试您拥有或已获得明确书面许可的 API。未经授权的安全测试可能违反服务条款和适用法律。
我应该如何记录发现的漏洞?
记录每个漏洞,包括:描述、受影响的端点、复现步骤、潜在影响、严重程度评级和建议的修复措施。包含请求/响应示例等证据。

Detalles del desarrollador

Autor

sickn33

Licencia

MIT

Repositorio

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-testing

Ref.

main

Estructura de archivos

📄 SKILL.md