api-security-testing

# API 安全测试工作流 ## 概述 专门用于测试 REST 和 GraphQL API 安全性的工作流，包括身份验证、授权、速率限制、输入验证以及 API 特有的漏洞。 ## 何时使用此工作流 在以下情况使用此工作流： - 测试 REST API 安全性 - 评估 GraphQL 端点 - 验证 API 身份验证 - 测试 API 速率限制 - 漏洞赏金 API 测试 ## 工作流阶段 ### 阶段 1：API 发现 #### 需调用的技能 - `api-fuzzing-bug-bounty` - API 模糊测试 - `scanning-tools` - API 扫描 #### 操作 1. 枚举端点 2. 记录 API 方法 3. 识别参数 4. 映射数据流 5. 查看文档 #### 复制粘贴提示词 Use @api-fuzzing-bug-bounty to discover API endpoints ### 阶段 2：身份验证测试 #### 需调用的技能 - `broken-authentication` - 身份验证测试 - `api-security-best-practices` - API 身份验证 #### 操作 1. 测试 API 密钥验证 2. 测试 JWT 令牌 3. 测试 OAuth2 流程 4. 测试令牌过期 5. 测试刷新令牌 #### 复制粘贴提示词 Use @broken-authentication to test API authentication ### 阶段 3：授权测试 #### 需调用的技能 - `idor-testing` - IDOR 测试 #### 操作 1. 测试对象级授权 2. 测试功能级授权 3. 测试基于角色的访问 4. 测试权限提升 5. 测试多租户隔离 #### 复制粘贴提示词 Use @idor-testing to test API authorization ### 阶段 4：输入验证 #### 需调用的技能 - `api-fuzzing-bug-bounty` - API 模糊测试 - `sql-injection-testing` - 注入测试 #### 操作 1. 测试参数验证 2. 测试 SQL 注入 3. 测试 NoSQL 注入 4. 测试命令注入 5. 测试 XXE 注入 #### 复制粘贴提示词 Use @api-fuzzing-bug-bounty to fuzz API parameters ### 阶段 5：速率限制 #### 需调用的技能 - `api-security-best-practices` - 速率限制 #### 操作 1. 测试速率限制标头 2. 测试暴力破解防护 3. 测试资源耗尽 4. 测试绕过技术 5. 记录限制 #### 复制粘贴提示词 Use @api-security-best-practices to test rate limiting ### 阶段 6：GraphQL 测试 #### 需调用的技能 - `api-fuzzing-bug-bounty` - GraphQL 模糊测试 #### 操作 1. 测试内省 (Introspection) 2. 测试查询深度 3. 测试查询复杂度 4. 测试批量查询 5. 测试字段建议 #### 复制粘贴提示词 Use @api-fuzzing-bug-bounty to test GraphQL security ### 阶段 7：