api-sec
Installation
SKILL.md
API Security Router
这是 API 安全测试的分类入口。
先用这个 skill 判断当前 API 更像是文档和资产发现、对象授权、令牌信任问题,还是 GraphQL 与隐藏参数问题,再进入更细的专题 skill。
When to Use
- 目标暴露 REST API、移动端后端或 GraphQL 接口
- 你需要先确定 API 测试顺序,再进入具体专题
- 你想把对象授权、JWT、GraphQL、隐藏字段这些方向分开处理
Skill Map
- API Recon and Docs: OpenAPI、Swagger、版本漂移、隐藏文档
- API Authorization and BOLA: BOLA、BFLA、方法滥用、隐藏可写字段
- API Auth and JWT Abuse: Bearer token、Header 信任、Claim 滥用、限流绕过
- GraphQL and Hidden Parameters: introspection、batching、未公开字段、隐藏参数
Quick Triage
| Observation | Route |
|---|---|
| Swagger 或 OpenAPI 存在 | api-recon-and-docs |
| IDs 出现在 URL、JSON、Header 或 GraphQL args | api-authorization-and-bola |
| JWT token visible in traffic | api-auth-and-jwt-abuse |
/graphql 或 batched JSON arrays 存在 |
graphql-and-hidden-parameters |
| 注册、登录、资料更新接受额外字段 | api-authorization-and-bola 然后 api-auth-and-jwt-abuse |
Recommended Flow
- 先看接口暴露面和文档资产
- 再看对象级和功能级授权
- 再看令牌、Header、签名与限流边界
- 如果有 GraphQL 或复杂 JSON,再进入隐藏字段和 schema 滥用
Related Categories
Weekly Installs
49
Repository
yaklang/hack-skillsGitHub Stars
69
First Seen
2 days ago
Security Audits
Installed on
cursor49
gemini-cli49
deepagents49
antigravity49
github-copilot49
amp49