技能 api-security-testing
📦

api-security-testing

安全

使用結構化工作流程測試 API 安全性

API 安全性測試需要系統性地涵蓋身份驗證、授權和注入漏洞。本工作流程引導您完成七個全面的測試階段,使用專門的安全技能。

支援: Claude Codex Code(CC)
🥉 73 青銅
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「api-security-testing」。 為具有 20 個端點的 REST API 開始 API 安全性測試工作流程

預期結果:

  • 階段 1 完成:發現 20 個端點,跨越 4 個資源群組
  • 階段 2 完成:身份驗證測試 - JWT 實作安全
  • 階段 3 完成:在使用者端點中發現 2 個潛在的 IDOR 漏洞
  • 階段 4 完成:輸入驗證測試識別了 1 個 SQL 注入向量
  • 最終報告:記錄了 3 個漏洞及其修復步驟

正在使用「api-security-testing」。 測試 GraphQL 端點的安全性漏洞

預期結果:

  • 自省:已啟用(建議在生產環境中停用)
  • 查詢深度:限制為 10 層(安全)
  • 複雜度分析:未實作(建議添加限制)
  • 批量查詢:允許但無限制(潛在的 DoS 向量)
  • 建議:實作查詢複雜度限制和批量限制

安全審計

安全
v1 • 2/24/2026

Static analyzer flagged 26 external_commands patterns and 1 cryptographic issue, but all findings are false positives. The backticks detected are Markdown code block delimiters, not Ruby shell execution. The skill is documentation-only with no executable code, network calls, or dangerous patterns. Safe for publication.

1
已掃描檔案
173
分析行數
0
發現項
1
審計總數
未發現安全問題
審計者: claude

品質評分

38
架構
100
可維護性
87
內容
50
社群
100
安全
83
規範符合性

你能建構什麼

漏洞賞金 API 測試

安全研究人員在漏洞賞金計劃中測試 API 端點的漏洞

開發團隊安全審查

開發團隊在生產部署前驗證 API 安全性

安全工作流程審計

顧問為客戶執行全面的 API 安全性評估

試試這些提示

初學者:API 探索 
使用 @api-fuzzing-bug-bounty 探索所有 API 端點。列舉端點、記錄 API 方法、識別參數、映射資料流,並審查可用的文檔。
中級:身份驗證測試 
使用 @broken-authentication 測試 API 身份驗證機制。測試 API 金鑰驗證、JWT 令牌處理、OAuth2 流程、令牌過期和刷新令牌安全性。
進階:授權測試 
使用 @idor-testing 測試 API 授權控制。測試物件級授權、功能級存取、基於角色的權限、權限提升路徑和多租戶隔離。
專家:GraphQL 安全 
使用 @api-fuzzing-bug-bounty 測試 GraphQL 端點安全性。測試自省設定、查詢深度限制、查詢複雜度、批量查詢處理和欄位建議暴露。

最佳實務

  • 系統性地完成所有七個階段以確保全面覆蓋
  • 記錄所有發現,包括重現步驟和嚴重程度評級
  • 為每個安全控制測試正常路徑和邊界情況

避免

  • 根據對 API 的假設跳過階段
  • 未經 API 所有者適當授權就進行測試
  • 僅專注於自動化測試而沒有手動驗證

常見問題

使用此工作流程需要哪些技能?
此工作流程引用了 api-fuzzing-bug-bounty、broken-authentication、idor-testing、sql-injection-testing 和 api-security-best-practices。每個階段都會調用特定的技能進行定向測試。
可以用於 GraphQL API 嗎?
可以,階段 6 專門涵蓋 GraphQL 安全性測試,包括自省、查詢深度、複雜度分析和批量查詢漏洞。
完整的 API 安全性評估需要多長時間?
評估時間因 API 複雜度而異。較小的 API(10-20 個端點)可能需要 2-4 小時。較大的 API 可能需要跨多個測試會話的完整天數。
適合自動化安全掃描嗎?
此工作流程設計用於在 AI 輔助下進行手動安全測試。若要進行自動化掃描,建議除了此工作流程外還使用專門的安全掃描工具。
測試前需要什麼授權?
僅測試您擁有的 API 或已獲得明確書面許可進行測試的 API。未經授權的安全測試可能違反服務條款和適用法律。
如何記錄發現的漏洞?
記錄每個漏洞時應包含:描述、受影響的端點、重現步驟、潛在影響、嚴重程度評級和建議的修復方法。包括請求/回應範例等證據。

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/api-security-testing

引用

main

檔案結構

📄 SKILL.md