npm - opencode-api-security-testing - Versions diffs - 3.0.10 → 3.0.11 - Mend

opencode-api-security-testing 3.0.10 → 3.0.11

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (71) hide show

package/README.md +74 -0
package/SKILL.md +1797 -0
package/core/advanced_recon.py +788 -0
package/core/agentic_analyzer.py +445 -0
package/core/analyzers/api_parser.py +210 -0
package/core/analyzers/response_analyzer.py +212 -0
package/core/analyzers/sensitive_finder.py +184 -0
package/core/api_fuzzer.py +422 -0
package/core/api_interceptor.py +525 -0
package/core/api_parser.py +955 -0
package/core/browser_tester.py +479 -0
package/core/cloud_storage_tester.py +1330 -0
package/core/collectors/__init__.py +23 -0
package/core/collectors/api_path_finder.py +300 -0
package/core/collectors/browser_collect.py +645 -0
package/core/collectors/browser_collector.py +411 -0
package/core/collectors/http_client.py +111 -0
package/core/collectors/js_collector.py +490 -0
package/core/collectors/js_parser.py +780 -0
package/core/collectors/url_collector.py +319 -0
package/core/context_manager.py +682 -0
package/core/deep_api_tester_v35.py +844 -0
package/core/deep_api_tester_v55.py +366 -0
package/core/dynamic_api_analyzer.py +532 -0
package/core/http_client.py +179 -0
package/core/models.py +296 -0
package/core/orchestrator.py +890 -0
package/core/prerequisite.py +227 -0
package/core/reasoning_engine.py +1042 -0
package/core/response_classifier.py +606 -0
package/core/runner.py +938 -0
package/core/scan_engine.py +599 -0
package/core/skill_executor.py +435 -0
package/core/skill_executor_v2.py +670 -0
package/core/skill_executor_v3.py +704 -0
package/core/smart_analyzer.py +687 -0
package/core/strategy_pool.py +707 -0
package/core/testers/auth_tester.py +264 -0
package/core/testers/idor_tester.py +200 -0
package/core/testers/sqli_tester.py +211 -0
package/core/testing_loop.py +655 -0
package/core/utils/base_path_dict.py +255 -0
package/core/utils/payload_lib.py +167 -0
package/core/utils/ssrf_detector.py +220 -0
package/core/verifiers/vuln_verifier.py +536 -0
package/package.json +1 -1
package/references/README.md +72 -0
package/references/asset-discovery.md +119 -0
package/references/fuzzing-patterns.md +129 -0
package/references/graphql-guidance.md +108 -0
package/references/intake.md +84 -0
package/references/pua-agent.md +192 -0
package/references/report-template.md +156 -0
package/references/rest-guidance.md +76 -0
package/references/severity-model.md +76 -0
package/references/test-matrix.md +86 -0
package/references/validation.md +78 -0
package/references/vulnerabilities/01-sqli-tests.md +1128 -0
package/references/vulnerabilities/02-user-enum-tests.md +423 -0
package/references/vulnerabilities/03-jwt-tests.md +499 -0
package/references/vulnerabilities/04-idor-tests.md +362 -0
package/references/vulnerabilities/05-sensitive-data-tests.md +466 -0
package/references/vulnerabilities/06-biz-logic-tests.md +501 -0
package/references/vulnerabilities/07-security-config-tests.md +511 -0
package/references/vulnerabilities/08-brute-force-tests.md +457 -0
package/references/vulnerabilities/09-vulnerability-chains.md +465 -0
package/references/vulnerabilities/10-auth-tests.md +537 -0
package/references/vulnerabilities/11-graphql-tests.md +355 -0
package/references/vulnerabilities/12-ssrf-tests.md +396 -0
package/references/vulnerabilities/README.md +148 -0
package/references/workflows.md +192 -0

package/references/asset-discovery.md ADDED Viewed

@@ -0,0 +1,119 @@
+# Asset Discovery Guidance
+将原始 API 材料转换为紧凑的安全相关清单。
+## 目标
+识别对安全测试最重要的 API 部分。
+## 核心表面
+- base URL(s)
+- versioning scheme
+- routes 或 operations
+- methods
+- content types
+- auth schemes
+## 信任边界
+- public vs authenticated endpoints
+- user vs admin operations
+- internal vs external APIs
+- service-to-service 或 callback flows
+- tenant 或 organization 边界
+## 敏感对象
+关注以下对象：
+- users
+- roles
+- teams
+- organizations
+- invoices
+- payments
+- orders
+- files
+- secrets
+- API keys
+- tokens
+- audit logs
+- exports
+- configuration objects
+## 高风险操作模式
+标记与以下相关的 endpoints 或 mutations：
+- create/update/delete user
+- role assignment
+- permission change
+- password reset
+- token issue 或 refresh
+- export 或 bulk download
+- import 或 bulk update
+- file upload
+- webhook registration
+- callback URL configuration
+- search 或 filter on sensitive entities
+- internal admin dashboards 或 debug endpoints
+## REST 提示
+优先包含模式的 endpoints：
+- `/admin`
+- `/internal`
+- `/users`
+- `/roles`
+- `/permissions`
+- `/export`
+- `/import`
+- `/search`
+- `/upload`
+- `/files`
+- `/billing`
+- `/settings`
+- `/token`
+- `/auth`
+- `/debug`
+同时注意：
+- bulk 操作
+- object IDs in path 或 query
+- 同一资源上隐藏的替代方法
+- 不一致的版本化 endpoints
+## GraphQL 提示
+优先：
+- 变更 roles、permissions 或 state 的 mutations
+- 暴露嵌套对象遍历的 fields
+- admin-only resolvers
+- schema introspection 暴露
+- 带敏感链接数据的宽对象图
+- 可能意外扩展访问的 connection 或 pagination 模式
+## 资产摘要格式
+优先简洁输出：
+```
+- Base URLs:
+- API type:
+- Auth schemes:
+- Roles observed or assumed:
+- Sensitive objects:
+- High-risk operations:
+- Trust boundaries:
+- Unknown areas:
+```
+## 优先级规则
+当表面较大时，优先深度在：
+1. auth 和 role 变更
+2. user 和 tenant 数据
+3. export/import 和 bulk 操作
+4. file 和 callback 流程
+5. 金融或行政操作
+不要在低风险的只读 metadata endpoints 上浪费空间，除非它们支持更广泛的滥用路径。

package/references/fuzzing-patterns.md ADDED Viewed

@@ -0,0 +1,129 @@
+# Fuzzing 字典
+## API前缀字典
+```python
+common_api_prefixes = [
+    # 协议/网关
+    "/gateway", "/proxy", "/route", "/ingress",
+    "/api-gateway", "/openapi", "/open/api",
+    # 版本前缀
+    "/v1", "/v2", "/v3", "/v4", "/v5",
+    "/api/v1", "/api/v2", "/api/v3",
+    "/rest", "/rest/api", "/graphql",
+    # 管理后台
+    "/admin", "/admin/api", "/manager", "/backend",
+    "/backoffice", "/cms",
+    # 业务模块
+    "/user", "/users", "/member", "/members",
+    "/order", "/orders", "/trade", "/transaction",
+    "/product", "/goods", "/shop", "/store",
+    "/payment", "/pay", "/finance", "/account",
+    "/file", "/upload", "/oss", "/storage",
+    "/message", "/notify", "/sms", "/email",
+    "/admin", "/authority", "/system", "/config",
+    # 微服务
+    "/service", "/services", "/rpc", "/grpc",
+    "/auth", "/oauth", "/sso", "/cas",
+    # 移动端
+    "/mobile", "/app", "/ios", "/android",
+    "/miniapp", "/wechat", "/applet",
+]
+```
+## API端点字典
+```python
+common_api_endpoints = [
+    # 通用CRUD
+    "login", "logout", "register", "list", "add", "delete", "modify",
+    "getList", "getListOfPage", "detail", "getInfo", "profile",
+    # 用户相关
+    "user", "user/list", "user/add", "user/delete", "user/modify",
+    "user/profile", "user/restPassword", "user/enable", "user/disable",
+    # 角色权限
+    "role", "role/list", "role/add", "role/delete", "role/modify",
+    "menu", "menu/list", "menu/add", "menu/delete", "menu/modify",
+    # 文件操作
+    "file", "upload", "download", "import", "export",
+    "imgUpload", "avatar", "attachment",
+]
+```
+## Fuzzing测试流程
+```python
+for prefix in common_api_prefixes:
+    for endpoint in common_api_endpoints:
+        url = target + prefix + "/" + endpoint
+        response = requests.get(url)
+        # 记录返回200的接口
+```
+## API根路径探测
+```python
+root_paths = [
+    "/", "/login", "/auth", "/oauth", "/sso", "/cas",
+    "/health", "/healthz", "/ready", "/status", "/info",
+    "/metrics", "/ping", "/actuator",
+]
+for path in root_paths:
+    url = api_base + path
+    response = requests.get(url)
+    if "json" in response.headers.get("Content-Type", ""):
+        # 发现可访问的接口
+```
+## 业务端点模板扩展
+```
+发现的模式: /{module}/{operation}
+可能存在的端点:
+- /{module}/list          → 列表查询
+- /{module}/add          → 新增创建
+- /{module}/modify       → 修改更新
+- /{module}/delete       → 删除操作
+- /{module}/detail       → 详情查看
+- /{module}/getInfo      → 信息获取
+- /{module}/export       → 导出数据
+- /{module}/import       → 导入数据
+RESTful风格:
+- GET  /{resource}/{id}     → 获取详情
+- PUT  /{resource}/{id}     → 完整更新
+- DELETE /{resource}/{id}   → 删除资源
+- PATCH /{resource}/{id}   → 部分更新
+```
+## 非通用base_path字典
+```python
+extended_base_paths = [
+    # 协议/网关
+    "/gateway", "/proxy", "/route", "/ingress",
+    "/api-gateway", "/openapi", "/open/api",
+    # 版本前缀
+    "/v1", "/v2", "/v3", "/v4", "/v5",
+    "/api/v1", "/api/v2", "/api/v3",
+    "/rest", "/rest/api", "/graphql",
+    # 管理后台
+    "/admin", "/manager", "/manage", "/console",
+    "/backend", "/backoffice", "/cms",
+    # 业务模块
+    "/user", "/users", "/member", "/members",
+    "/order", "/orders", "/trade", "/transaction",
+    "/product", "/goods", "/shop", "/store",
+    "/payment", "/pay", "/finance", "/account",
+    "/file", "/upload", "/oss", "/storage",
+    "/message", "/notify", "/sms", "/email",
+    "/admin", "/authority", "/system", "/config",
+    # 微服务
+    "/service", "/services", "/rpc", "/grpc",
+    "/auth", "/oauth", "/sso", "/cas",
+    # 移动端
+    "/mobile", "/app", "/ios", "/android",
+    "/miniapp", "/wechat", "/applet",
+]
+```

package/references/graphql-guidance.md ADDED Viewed

@@ -0,0 +1,108 @@
+# GraphQL Guidance
+分析 GraphQL API 时使用。
+## 关注领域
+### 字段级授权
+- resolver 是否正确检查权限
+- 嵌套查询是否泄露数据
+- 是否缺少 admin-only 字段
+### 嵌套遍历
+- `type User { friends: [User!]! }` 可导致递归查询
+- `type Post { author: User }` 允许遍历
+- 是否限制遍历深度
+### Resolver 边界
+- 一个 resolver 是否调用另一个 service
+- 是否存在 SSRF 风险
+- 是否有命令注入点
+### Mutation 滥用
+- 未经授权的状态变更
+- 条件 mutation（如 admin-only mutation）
+- 批量 mutation 导致的问题
+### Introspection 暴露
+- 是否禁用 introspection
+- 是否暴露敏感字段
+- Schema 文档是否包含敏感信息
+## 常见风险信号
+- ` IntrospectionQuery` 可访问
+- 缺少 query 复杂度限制
+- 缺少 query 深度限制
+- 缺少字段权限检查
+- mutation 接受任意输入
+- 嵌套查询无限制
+## 测试重点
+### 1. 枚举攻击
+```graphql
+# 枚举所有用户
+query {
+  users {
+    id
+    username
+    email
+  }
+}
+```
+### 2. 嵌套遍历
+```graphql
+# 递归遍历 friendships
+query {
+  user(id: 1) {
+    friends {
+      friends {
+        friends {
+          id
+        }
+      }
+    }
+  }
+}
+```
+### 3. 权限绕过
+```graphql
+# 尝试 admin 字段
+query {
+  user(id: 1) {
+    isAdmin
+    role
+  }
+}
+```
+### 4. mutation 滥用
+```graphql
+# 未经授权的 mutation
+mutation {
+  updateUser(id: 1, role: "admin") {
+    id
+    role
+  }
+}
+```
+## 防护检查
+- [ ] 是否限制查询复杂度
+- [ ] 是否限制查询深度
+- [ ] 是否禁用 introspection
+- [ ] resolver 是否有权限检查
+- [ ] 是否过滤敏感字段

package/references/intake.md ADDED Viewed

@@ -0,0 +1,84 @@
+# Intake Checklist
+确认输入和评估模式。
+## 确认提供的内容
+### 必须确认
+- [ ] 目标 URL 或 base URL
+- [ ] API 类型 (REST/GraphQL/混合)
+- [ ] 认证方式 (Bearer Token/JWT/Session/API Key/OAuth)
+- [ ] 测试账户 (如有)
+- [ ] 授权范围
+### 需要明确的
+- [ ] 是否允许主动测试
+- [ ] 是否有速率限制
+- [ ] 测试环境还是生产环境
+- [ ] 是否有 IP 白名单
+## 评估模式
+### 1. 文档驱动审查 (Document-Driven Review)
+**条件**: 只有规范、schema、collection 可用
+**方法**:
+- 分析 OpenAPI/Swagger
+- 分析 Postman collection
+- 分析 API 文档
+- 分析 GraphQL schema
+**限制**:
+- 无法验证运行时行为
+- 无法确认绕过
+- 标记为 hypothesis
+### 2. 被动目标审查 (Passive Target Review)
+**条件**: 存在活动目标，但凭证或主动测试受限
+**方法**:
+- 观察公开端点行为
+- 分析响应结构
+- 识别认证边界
+- 检查信息泄露
+**限制**:
+- 无法测试所有边界
+- 无法验证授权问题
+### 3. 授权主动评估 (Authorized Active Assessment)
+**条件**: 用户提供足够授权和上下文
+**方法**:
+- 测试认证机制
+- 验证授权边界
+- 测试输入处理
+- 验证业务逻辑
+**要求**:
+- 明确的书面授权
+- 测试账户
+- 速率限制说明
+## 假设声明
+如有任何不明确，声明假设：
+```
+Assumptions:
+- [假设 1]
+- [假设 2]
+```
+## 范围限制
+```
+Scope Limitations:
+- [限制 1]
+- [限制 2]
+```

package/references/pua-agent.md ADDED Viewed

@@ -0,0 +1,192 @@
+# API Security Testing PUA Agent
+## 角色定义
+你是一个API安全测试专家，代号"渗透测试员P9"。
+你的职责是：
+1. **不放弃** - 任何线索都要追到底
+2. **自动化** - 不等待用户指令
+3. **压力升级** - 遇到失败自动换方法
+4. **进度追踪** - 每一项都要完成
+## 自动触发条件
+### 压力升级触发
+| 失败次数 | 级别 | 行动 |
+|---------|------|------|
+| 1次 | L1 | 换一种方法继续 |
+| 2次 | L2 | 强制搜索更多信息 |
+| 3次 | L3 | 7点检查清单 |
+| 4次 | L4 | 报告并尝试其他方向 |
+### 必须自动执行的情况
+```
+□ 发现配置文件 → 自动分析所有URL
+□ 发现API路径 → 自动批量测试
+□ 发现CORS漏洞 → 自动检查所有端点
+□ 发现登录接口 → 自动测试绕过
+□ 测试完成一项 → 自动检查遗漏
+□ 发现新线索 → 自动开启测试
+□ 用户说"继续" → 不等待，直接执行
+```
+## 进度追踪表
+```
+【当前进度】
+阶段1: 基础探测     [██████████] 100%
+  ├─ □ HTTP探测
+  ├─ □ 技术栈识别
+  ├─ □ SPA判断
+  └─ □ 配置文件发现
+阶段2: JS采集      [████████░░] 80%
+  ├─ □ Playwright采集
+  ├─ □ JS分析
+  └─ □ API路径提取
+阶段3: API测试     [████░░░░░░░] 40%
+  ├─ □ curl批量探测
+  ├─ □ CORS测试 ← 当前
+  ├─ □ SQL注入测试
+  └─ □ 其他漏洞
+阶段4: 漏洞验证    [░░░░░░░░░░░] 0%
+  ├─ □ 漏洞确认
+  ├─ □ 误报排除
+  └─ □ 报告输出
+【发现清单】
+├─ CORS漏洞: 3个端点
+├─ SQL注入: 待测试
+├─ 新线索:
+│   └─ /ipark-wxlite/* (404)
+└─ API端点: 18个
+【下一步行动】
+→ 自动执行: curl批量探测剩余端点
+```
+## 不放弃原则
+### 遇到以下情况必须继续
+| 情况 | 正确做法 |
+|------|----------|
+| 端点404 | 尝试POST方法 |
+| 需要认证 | 尝试绕过方法 |
+| 被WAF拦截 | 换payload测试 |
+| 返回HTML | 这是路由，继续API测试 |
+| 找不到JS | 分析配置文件 |
+| 配置文件为空 | 搜索其他配置 |
+| 单个端点失败 | 测试同类端点 |
+| 说"无法测试" | 必须说明尝试了哪些 |
+### 必须穷举的方法
+```
+【CORS测试】
+1. curl测试GET
+2. curl测试POST
+3. 检查所有端点
+4. 对比响应差异
+【SQL注入测试】
+1. ' OR '1'='1
+2. ' OR 1=1--
+3. ' AND SLEEP(3)--
+4. ' UNION SELECT--
+5. ' AND (SELECT...
+【暴力破解】
+1. 多线程并发
+2. 延时处理
+3. 验证码识别
+4. 换IP测试
+```
+## 自动执行模板
+```
+用户输入: 测试 http://target.com
+【PUA Agent自动执行】
+→ 阶段1: 基础探测 [自动执行]
+   → GET http://target.com
+   → 发现Vue SPA
+   → 发现 /_app.config.js
+   → 【发现配置文件】→ 自动下载分析
+→ 阶段2: JS采集 [自动执行]
+   → Playwright访问
+   → 拦截所有请求
+   → 【发现API路径】→ 批量curl探测
+→ 阶段3: API测试 [自动执行]
+   → 【发现CORS】→ 自动检查所有端点
+   → 【发现登录接口】→ 自动测试绕过
+   → 【发现新线索】→ 自动深入
+→ 阶段4: 漏洞验证 [自动执行]
+   → 【检查清单完成判定】
+   → 【输出报告】
+【每一项都不等待用户指令】
+```
+## 压力升级检查清单
+当失败3次后，必须执行：
+```
+【7点检查清单】
+1. 我测试了所有端点吗？
+   → 没有 → 继续测试
+2. 我尝试了所有HTTP方法吗？
+   → 没有 → GET/POST/PUT/DELETE/OPTIONS
+3. 我尝试了不同的payload吗？
+   → 没有 → 换payload继续
+4. 我检查了所有响应头吗？
+   → 没有 → curl -I 完整检查
+5. 我分析了所有JS文件吗？
+   → 没有 → 递归下载分析
+6. 我测试了绕过方法吗？
+   → 没有 → 换WAF绕过方式
+7. 我记录了所有发现吗？
+   → 没有 → 记录后继续
+```
+## 输出格式
+```
+【发现】
+- 漏洞: CORS配置错误
+- 端点: 18个
+- 风险: 中危
+【证据】
+curl -I -H "Origin: https://evil.com" http://target.com/api/user/info
+ACAO: https://evil.com
+ACAC: true
+【下一步行动】
+→ 自动执行: 检查其他18个端点的CORS
+```
+## 使用方式
+在API Testing Skill中，所有测试都是**自动执行**，不需要用户说"继续"。
+**触发词**: 发现任何线索都自动深入