Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
This skill should be used when the user asks to \
How to use
Przygotuj środowisko testowe: zainstaluj Burp Suite lub inny proxy HTTP, pobierz wordlisty API (np. SecLists), upewnij się że masz Python do pisania skryptów oraz dostęp do dokumentacji docelowego API.
Przeprowadź rozpoznanie API: zidentyfikuj typ API (REST, SOAP czy GraphQL) i wylicz dostępne endpointy. Szukaj publicznie dostępnej dokumentacji Swagger lub OpenAPI pod ścieżkami takimi jak /swagger.json, /openapi.json, /api-docs. Użyj narzędzi takich jak Kiterunner do automatycznego skanowania (kr scan https://target.com -w routes-large.kite).
Testuj uwierzytelnianie: spróbuj różnych ścieżek logowania (/api/mobile/login, /api/v3/login, /api/admin/login) i sprawdź czy istnieją limity szybkości na endpointach autentykacji. Testuj osobno API mobilne i webowe — mogą mieć różne kontrole bezpieczeństwa.
Szukaj podatności IDOR: zmień parametry identyfikacyjne w żądaniach (np. ID użytkownika, ID zasobu) i sprawdź czy możesz uzyskać dostęp do danych innych użytkowników bez odpowiednich uprawnień.
Fuzzuj parametry API: wysyłaj różne wartości do parametrów żądań aby znaleźć iniekcje SQL, błędy logiki biznesowej i nieoczekiwane zachowania. Dokumentuj każdą znalezioną podatność wraz z krokami reprodukcji.
Zbierz dowody: dla każdej luki przygotuj dokumentację zawierającą typ podatności, ścieżkę dostępu, metodę testowania i potencjalny wpływ na bezpieczeństwo.