Appearance
使用 AI 自动化 REST 和 GraphQL 接口安全测试
通过结构化的 AI 工作流,将 API 安全测试分解为发现、鉴权、授权、输入校验及速率限制等多个阶段,帮助开发者快速识别接口漏洞并提升系统鲁棒性。
为什么需要这个技能
API 是现代应用的核心,但也是攻击者的主要目标。手动测试 REST 或 GraphQL 接口的安全性不仅耗时,且容易遗漏如 IDOR(不安全的直接对象引用)、JWT 漏洞或 GraphQL 深度查询攻击等深层问题。
该技能通过引导 AI 调用特定的安全测试子技能,将繁琐的 Fuzzing(模糊测试)和漏洞扫描标准化,使开发者能够在开发阶段就快速定位安全隐患,而非依赖上线后的应急修复。
适用场景
- REST API 安全验收:在功能上线前验证接口的身份验证与权限隔离。
- GraphQL 接口审计:检查内省查询(Introspection)是否开启,以及是否存在复杂查询导致的拒绝服务风险。
- Bug Bounty 项目:在参与漏洞赏金计划时,快速枚举端点并进行自动化 Fuzzing。
- 合规性检查:验证 API 是否符合安全最佳实践(如 HTTPS 强制执行、错误信息脱敏等)。
核心工作流
本技能将 API 安全测试分为七个关键阶段,通过 AI 驱动的指令集执行:
- API 发现与映射:利用
@api-fuzzing-bug-bounty枚举端点,记录方法、参数及数据流向。 - 身份验证测试:通过
@broken-authentication验证 API Key、JWT 令牌的有效性及其过期机制。 - 权限控制审计:使用
@idor-testing检查对象级和函数级授权,尝试权限提升或跨租户访问。 - 输入验证扫描:结合
@sql-injection-testing对参数进行 Fuzzing,检测 SQLi、NoSQLi 及 XXE 注入。 - 速率限制验证:调用
@api-security-best-practices测试暴力破解防护及资源耗尽攻击。 - GraphQL 专项测试:针对 GraphQL 特性,测试查询深度、复杂度及字段建议漏洞。
- 错误处理审计:检查 API 返回的错误信息是否泄露堆栈跟踪或敏感系统配置。
下载和安装
下载 api-security-testing 中文版 Skill ZIP
解压后将目录放入你的 AI 工具 skills 文件夹,重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。
你可能还需要
暂无推荐