npm - opencode-api-security-testing - Versions diffs - 2.1.0 → 2.1.1 - Mend

opencode-api-security-testing 2.1.0 → 2.1.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (61) hide show

package/SKILL.md +1797 -0
package/core/advanced_recon.py +788 -0
package/core/agentic_analyzer.py +445 -0
package/core/analyzers/api_parser.py +210 -0
package/core/analyzers/response_analyzer.py +212 -0
package/core/analyzers/sensitive_finder.py +184 -0
package/core/api_fuzzer.py +422 -0
package/core/api_interceptor.py +525 -0
package/core/api_parser.py +955 -0
package/core/browser_tester.py +479 -0
package/core/cloud_storage_tester.py +1330 -0
package/core/collectors/__init__.py +23 -0
package/core/collectors/api_path_finder.py +300 -0
package/core/collectors/browser_collect.py +645 -0
package/core/collectors/browser_collector.py +411 -0
package/core/collectors/http_client.py +111 -0
package/core/collectors/js_collector.py +490 -0
package/core/collectors/js_parser.py +780 -0
package/core/collectors/url_collector.py +319 -0
package/core/context_manager.py +682 -0
package/core/deep_api_tester_v35.py +844 -0
package/core/deep_api_tester_v55.py +366 -0
package/core/dynamic_api_analyzer.py +532 -0
package/core/http_client.py +179 -0
package/core/models.py +296 -0
package/core/orchestrator.py +890 -0
package/core/prerequisite.py +227 -0
package/core/reasoning_engine.py +1042 -0
package/core/response_classifier.py +606 -0
package/core/runner.py +938 -0
package/core/scan_engine.py +599 -0
package/core/skill_executor.py +435 -0
package/core/skill_executor_v2.py +670 -0
package/core/skill_executor_v3.py +704 -0
package/core/smart_analyzer.py +687 -0
package/core/strategy_pool.py +707 -0
package/core/testers/auth_tester.py +264 -0
package/core/testers/idor_tester.py +200 -0
package/core/testers/sqli_tester.py +211 -0
package/core/testing_loop.py +655 -0
package/core/utils/base_path_dict.py +255 -0
package/core/utils/payload_lib.py +167 -0
package/core/utils/ssrf_detector.py +220 -0
package/core/verifiers/vuln_verifier.py +536 -0
package/package.json +17 -13
package/references/asset-discovery.md +119 -612
package/references/graphql-guidance.md +65 -641
package/references/intake.md +84 -0
package/references/report-template.md +131 -38
package/references/rest-guidance.md +55 -526
package/references/severity-model.md +52 -264
package/references/test-matrix.md +65 -263
package/references/validation.md +53 -400
package/scripts/postinstall.js +46 -0
package/agents/cyber-supervisor.md +0 -55
package/agents/probing-miner.md +0 -42
package/agents/resource-specialist.md +0 -31
package/commands/api-security-testing-scan.md +0 -59
package/commands/api-security-testing-test.md +0 -49
package/commands/api-security-testing.md +0 -72
package/tsconfig.json +0 -17

package/commands/api-security-testing-scan.md DELETED Viewed

@@ -1,59 +0,0 @@
----
-description: API 安全测试 - 启动安全扫描任务
----
-<command-instruction>
-启动 API 安全测试扫描任务。
-## 使用方法
-```
-/api-security-testing-scan <目标URL>
-```
-## 示例
-```
-/api-security-testing-scan https://example.com/api
-```
-## 工作流程
-1. **Phase 1**: 端点发现 - 采集所有 API 端点
-2. **Phase 2**: 漏洞挖掘 - 针对每个端点测试漏洞
-3. **Phase 3**: 报告生成 - 输出安全报告
-## 可用 Agent
-| Agent | 说明 |
-|-------|------|
-| @cyber-supervisor | 赛博监工 - 监督整个测试流程 |
-| @probing-miner | 探测挖掘专家 - 漏洞挖掘 |
-| @resource-specialist | 资源探测专家 - 端点发现 |
-## 漏洞类型
-- SQL 注入 (SQLi)
-- 用户枚举
-- JWT 安全
-- IDOR 越权
-- 敏感数据泄露
-- 业务逻辑漏洞
-- 安全配置错误
-- 暴力破解
-- GraphQL 安全
-- SSRF
-## 报告格式
-生成 Markdown 格式的安全报告，包含：
-- 测试目标信息
-- 发现的端点列表
-- 漏洞详情（严重程度、位置、验证步骤）
-- 利用链说明
-- 修复建议
-## 注意
-仅用于合法授权的安全测试，测试前确保有书面授权。
-</command-instruction>

package/commands/api-security-testing-test.md DELETED Viewed

@@ -1,49 +0,0 @@
----
-description: API 安全测试 - 快速测试特定端点
----
-<command-instruction>
-对特定 API 端点进行快速安全测试。
-## 使用方法
-```
-/api-security-testing-test <端点URL> [测试类型]
-```
-## 示例
-```
-/api-security-testing-test https://example.com/api/login sqli
-/api-security-testing-test https://example.com/api/user idor
-```
-## 测试类型
-| 类型 | 说明 |
-|------|------|
-| sqli | SQL 注入测试 |
-| idor | IDOR 越权测试 |
-| jwt | JWT 安全测试 |
-| auth | 认证漏洞测试 |
-| xss | XSS 测试 |
-| ssrf | SSRF 测试 |
-| all | 全部测试 |
-## 输出格式
-### 发现漏洞
-| 漏洞类型 | 端点 | 严重程度 | 验证状态 | PoC |
-|---------|------|---------|---------|-----|
-| SQL注入 | /api/user?id=1 | HIGH | 已验证 | payload... |
-### 详细分析
-对每个漏洞提供：
-1. **描述**: 漏洞的详细说明
-2. **位置**: 具体的端点和参数
-3. **验证步骤**: 如何验证漏洞存在
-4. **PoC**: 具体的测试payload
-5. **修复建议**: 如何修复该漏洞
-</command-instruction>

package/commands/api-security-testing.md DELETED Viewed

@@ -1,72 +0,0 @@
----
-description: API 安全测试 - 主入口
----
-<command-instruction>
-API Security Testing - API 安全测试插件
-## 简介
-全自动 API 安全测试插件，支持漏洞扫描、渗透测试、API检测。
-## 可用命令
-| 命令 | 说明 |
-|------|------|
-| `/api-security-testing-scan` | 完整扫描模式 |
-| `/api-security-testing-test` | 快速测试特定端点 |
-## 可用 Agent
-| Agent | 说明 |
-|-------|------|
-| `@cyber-supervisor` | 赛博监工 - 永不停止的测试监督 |
-| `@probing-miner` | 探测挖掘专家 - 针对性漏洞挖掘 |
-| `@resource-specialist` | 资源探测专家 - 端点发现和采集 |
-## 核心能力
-1. **端点发现** - Playwright 动态采集 + JS 静态分析
-2. **漏洞检测** - SQLi、XSS、IDOR、敏感数据、安全头部
-3. **智能分析** - 自动判断技术栈，选择最佳测试策略
-4. **压力升级** - 失败时自动切换测试方法 (L1-L4)
-## 快速开始
-### 1. 启动完整扫描
-```
-delegate_task @cyber-supervisor
-```
-### 2. 发现端点
-```
-delegate_task @resource-specialist
-```
-### 3. 挖掘漏洞
-```
-delegate_task @probing-miner
-```
-## 漏洞测试参考
-详细的漏洞测试指南位于 `references/vulnerabilities/` 目录：
-- 01-sqli-tests.md - SQL 注入测试
-- 02-user-enum-tests.md - 用户枚举测试
-- 03-jwt-tests.md - JWT 认证测试
-- 04-idor-tests.md - IDOR 越权测试
-- 05-sensitive-data-tests.md - 敏感数据泄露
-- 06-biz-logic-tests.md - 业务逻辑漏洞
-- 07-security-config-tests.md - 安全配置漏洞
-- 08-brute-force-tests.md - 暴力破解测试
-- 11-graphql-tests.md - GraphQL 安全测试
-- 12-ssrf-tests.md - SSRF 安全测试
-## 注意
-**仅用于合法授权的安全测试，测试前确保有书面授权。**
-</command-instruction>

package/tsconfig.json DELETED Viewed

@@ -1,17 +0,0 @@
-{
-  "compilerOptions": {
-    "target": "ESNext",
-    "module": "ESNext",
-    "moduleResolution": "bundler",
-    "strict": true,
-    "esModuleInterop": true,
-    "skipLibCheck": true,
-    "forceConsistentCasingInFileNames": true,
-    "outDir": "dist",
-    "declaration": true,
-    "declarationMap": true,
-    "sourceMap": true
-  },
-  "include": ["src/**/*"],
-  "exclude": ["node_modules", "dist"]
-}