scanning-api-security
Detect API security vulnerabilities including injection, broken auth, and data exposure.\nUse when scanning APIs for security vulnerabilities.\nTrigger with phrases like \
Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
Detect API security vulnerabilities including injection, broken auth, and data exposure.\nUse when scanning APIs for security vulnerabilities.\nTrigger with phrases like \
How to use
Przygotuj kod źródłowy API z definicjami tras i implementacjami kontrolerów. Upewnij się, że masz dostęp do specyfikacji OpenAPI, jeśli jest dostępna, oraz zapoznaj się z listą OWASP API Security Top 10 (2023).
Uruchom umiejętność za pomocą fraz takich jak "skanuj bezpieczeństwo API", "sprawdź podatności" lub "audytuj bezpieczeństwo API". Narzędzie przeskanuje wszystkie definicje tras, aby zbudować pełny inwentarz endpointów, metod HTTP i łańcuchów middleware zastosowanych do każdej trasy.
Przeanalizuj middleware autentykacji, aby sprawdzić, czy każdy endpoint mutacyjny (POST, PUT, PATCH, DELETE) ma wymuszaną autentykację i czy żaden endpoint nie omija jej przez błędne porządkowanie tras.
Sprawdź Broken Object Level Authorization (BOLA), weryfikując, że kontrole dostępu do zasobów porównują ID lub rolę uwierzytelnionego użytkownika z właścicielством żądanego zasobu, a nie tylko ważność autentykacji.
Zidentyfikuj nadmierną ekspozycję danych, porównując dane zwracane w odpowiedziach z rzeczywistymi potrzebami klienta i sprawdzając, czy nie ujawniają się poufne pola.
Uzupełnij analizę statyczną dynamicznym testowaniem za pomocą narzędzi takich jak OWASP ZAP, Burp Suite lub nuclei, a także skanerów podatności zależności (npm audit, safety dla Pythona, govulncheck).