npm - opencode-api-security-testing - Versions diffs - 3.0.8 → 3.0.10 - Mend

opencode-api-security-testing 3.0.8 → 3.0.10

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (79) hide show

package/agents/api-cyber-supervisor.md +9 -3
package/agents/api-probing-miner.md +10 -2
package/agents/api-resource-specialist.md +44 -35
package/agents/api-vuln-verifier.md +56 -24
package/package.json +1 -1
package/postinstall.mjs +1 -0
package/preuninstall.mjs +43 -32
package/src/index.ts +3 -100
package/README.md +0 -74
package/SKILL.md +0 -1797
package/core/advanced_recon.py +0 -788
package/core/agentic_analyzer.py +0 -445
package/core/analyzers/api_parser.py +0 -210
package/core/analyzers/response_analyzer.py +0 -212
package/core/analyzers/sensitive_finder.py +0 -184
package/core/api_fuzzer.py +0 -422
package/core/api_interceptor.py +0 -525
package/core/api_parser.py +0 -955
package/core/browser_tester.py +0 -479
package/core/cloud_storage_tester.py +0 -1330
package/core/collectors/__init__.py +0 -23
package/core/collectors/api_path_finder.py +0 -300
package/core/collectors/browser_collect.py +0 -645
package/core/collectors/browser_collector.py +0 -411
package/core/collectors/http_client.py +0 -111
package/core/collectors/js_collector.py +0 -490
package/core/collectors/js_parser.py +0 -780
package/core/collectors/url_collector.py +0 -319
package/core/context_manager.py +0 -682
package/core/deep_api_tester_v35.py +0 -844
package/core/deep_api_tester_v55.py +0 -366
package/core/dynamic_api_analyzer.py +0 -532
package/core/http_client.py +0 -179
package/core/models.py +0 -296
package/core/orchestrator.py +0 -890
package/core/prerequisite.py +0 -227
package/core/reasoning_engine.py +0 -1042
package/core/response_classifier.py +0 -606
package/core/runner.py +0 -938
package/core/scan_engine.py +0 -599
package/core/skill_executor.py +0 -435
package/core/skill_executor_v2.py +0 -670
package/core/skill_executor_v3.py +0 -704
package/core/smart_analyzer.py +0 -687
package/core/strategy_pool.py +0 -707
package/core/testers/auth_tester.py +0 -264
package/core/testers/idor_tester.py +0 -200
package/core/testers/sqli_tester.py +0 -211
package/core/testing_loop.py +0 -655
package/core/utils/base_path_dict.py +0 -255
package/core/utils/payload_lib.py +0 -167
package/core/utils/ssrf_detector.py +0 -220
package/core/verifiers/vuln_verifier.py +0 -536
package/references/README.md +0 -72
package/references/asset-discovery.md +0 -119
package/references/fuzzing-patterns.md +0 -129
package/references/graphql-guidance.md +0 -108
package/references/intake.md +0 -84
package/references/pua-agent.md +0 -192
package/references/report-template.md +0 -156
package/references/rest-guidance.md +0 -76
package/references/severity-model.md +0 -76
package/references/test-matrix.md +0 -86
package/references/validation.md +0 -78
package/references/vulnerabilities/01-sqli-tests.md +0 -1128
package/references/vulnerabilities/02-user-enum-tests.md +0 -423
package/references/vulnerabilities/03-jwt-tests.md +0 -499
package/references/vulnerabilities/04-idor-tests.md +0 -362
package/references/vulnerabilities/05-sensitive-data-tests.md +0 -466
package/references/vulnerabilities/06-biz-logic-tests.md +0 -501
package/references/vulnerabilities/07-security-config-tests.md +0 -511
package/references/vulnerabilities/08-brute-force-tests.md +0 -457
package/references/vulnerabilities/09-vulnerability-chains.md +0 -465
package/references/vulnerabilities/10-auth-tests.md +0 -537
package/references/vulnerabilities/11-graphql-tests.md +0 -355
package/references/vulnerabilities/12-ssrf-tests.md +0 -396
package/references/vulnerabilities/README.md +0 -148
package/references/workflows.md +0 -192
package/src/hooks/directory-agents-injector.ts +0 -106

package/references/report-template.md DELETED Viewed

@@ -1,156 +0,0 @@
-# Report Template
-标准化 API 安全报告模板。
----
-## Scope
-- **Target**: [目标 URL 或 base URL]
-- **Assessment Mode**: [文档驱动/被动/主动]
-- **Timeframe**: [评估日期范围]
-- **Authorization**: [授权范围说明]
----
-## Authorization Assumptions
-- [假设已明确授权测试的目标]
-- [假设测试环境的限制]
-- [其他假设条件]
----
-## Asset Summary
-### Base URLs
-```
-- [URL 1]
-- [URL 2]
-```
-### API Type
-```
-[REST / GraphQL / 混合]
-```
-### Auth Schemes
-```
-[认证方式：Bearer Token / JWT / Session / API Key / OAuth]
-```
-### Discovered Endpoints
-| Endpoint | Methods | Auth Required | Risk Level |
-|----------|---------|--------------|------------|
-| /api/users | GET, POST | Yes | High |
-| /api/admin/* | All | Admin | Critical |
-### Sensitive Objects
-```
-- [敏感对象列表]
-```
-### Trust Boundaries
-```
-- [信任边界描述]
-```
----
-## Test Matrix
-| Category | Test Item | Priority | Status |
-|----------|----------|----------|--------|
-| Authentication | 暴力攻击防护 | Critical | Pass |
-| Authorization | IDOR | Critical | FAIL |
-| Input Handling | SQL Injection | High | - |
-| ... | ... | ... | ... |
----
-## Findings
-### Finding 1: [标题]
-**Severity**: [Critical / High / Medium / Low / Informational]
-**Confidence**: [Confirmed / High / Medium / Low / Hypothesis]
-**Affected Asset**:
-```
-[具体 endpoint 或操作]
-```
-**Description**:
-[问题描述]
-**Evidence**:
-```http
-[请求/响应样本]
-```
-**Reproduction**:
-1. [步骤 1]
-2. [步骤 2]
-3. [步骤 3]
-**Impact**:
-[现实影响评估]
-**Remediation**:
-[具体可操作的修复建议]
-**Retest Notes**:
-[复测需要验证的内容]
----
-### Finding 2: ...
----
-## Coverage Gaps
-| Gap | Impact | Recommendation |
-|-----|--------|-----------------|
-| [未覆盖的测试区域] | [影响] | [建议] |
-| [凭证不足，无法验证...] | [影响] | [建议] |
----
-## Overall Risk Summary
-| Risk Level | Count | Findings |
-|------------|-------|----------|
-| Critical | 1 | IDOR in /api/users/{id} |
-| High | 2 | ... |
-| Medium | 3 | ... |
-| Low | 1 | ... |
-### Key Risks
-- [最重要的 3-5 个风险摘要]
-### Recommended Priority
-1. [最优先修复项]
-2. [次优先]
-3. [第三优先]
----
-## Appendix
-### Tools Used
-- [使用的工具列表]
-### References
-- [参考链接]

package/references/rest-guidance.md DELETED Viewed

@@ -1,76 +0,0 @@
-# REST Guidance
-当 API 是 REST 风格或面向资源时使用。
-## 关注领域
-- object identifiers in paths and query strings
-- method confusion across the same resource
-- alternate versions exposing weaker controls
-- bulk read and bulk write operations
-- export and import endpoints
-- callback URL configuration
-- file upload and file retrieval
-- verbose errors and debug metadata
-## 常见风险信号
-- `GET /resource/{id}` with predictable IDs
-- `PUT` or `PATCH` routes that accept role, tenant, or owner fields
-- undocumented admin or support routes
-- query parameters affecting filtering, sorting, or joins on sensitive objects
-- separate internal and public route families with inconsistent auth
-- data export endpoints returning broad records with limited user context
-## 推荐分组
-按对象家族或工作流分组 endpoints，而非单独列出每个路由。
-示例分组：
-- user administration
-- billing and invoices
-- file operations
-- reporting and exports
-- organization or tenant management
-- authentication and sessions
-- API key and token management
-- administrative operations
-- data import and bulk updates
-- search and filter operations
-## 特别关注
-### 对象引用
-- 路径中的数字 ID（可预测？）
-- UUID vs 序列号
-- 嵌套资源路径 `/users/{id}/orders/{order_id}`
-### 方法混淆
-- 同资源不同方法（GET vs PUT vs DELETE）
-- PUT 接受不应该能修改的字段（role, tenant_id）
-### 版本差异
-- `/v1/` vs `/v2/` 的安全控制是否一致
-- 旧版本是否暴露更多功能
-### Admin 接口
-- `/admin/` 家族
-- `/internal/` 家族
-- `/debug/` 或 `/manage/`
-### 文件操作
-- `/upload/`
-- `/import/`
-- `/export/`
-- `/download/`
-### 敏感查询
-- 影响 join 的查询参数
-- 排序和过滤敏感对象
-- 分页参数的访问控制

package/references/severity-model.md DELETED Viewed

@@ -1,76 +0,0 @@
-# Severity Model
-严重性校准标准。
-## Severity Levels
-### Critical
-直接导致：
-- 未授权的管理员访问
-- 敏感数据大规模泄露
-- 完整的系统入侵
-示例：
-- 认证绕过获取管理员权限
-- SQL 注入导致数据库泄露
-- 硬编码凭证
-### High
-可导致：
-- 未授权的用户数据访问
-- 权限提升
-- 关键业务逻辑绕过
-示例：
-- IDOR 导致其他用户数据泄露
-- 垂直越权获取管理员功能
-- 敏感 API 密钥泄露
-### Medium
-可导致：
-- 有限的用户数据影响
-- 信息泄露
-- 安全控制降低
-示例：
-- 敏感信息在错误消息中暴露
-- 账户枚举
-- 暴力攻击防护缺失
-### Low
-影响有限：
-- 信息披露
-- 次要配置问题
-- 低风险误报
-示例：
-- 调试头暴露
-- OPTIONS 方法可用
-- 详细版本信息泄露
-### Informational
-非安全问题：
-- 最佳实践建议
-- 文档改进建议
-## Confidence Levels
-| Level | 标准 | 要求证据 |
-|-------|------|----------|
-| Confirmed | 完全验证，有 PoC | 完整请求/响应 |
-| High | 强指标 | 请求+响应+影响分析 |
-| Medium | 中等指标 | 观察到的行为 |
-| Low | 弱指标 | 单一响应 |
-| Hypothesis | 理论推断 | 需要进一步调查 |
-## 校准原则
-1. **保守校准**: 证据不确定时，倾向较低严重性
-2. **基于影响**: 考虑真实世界影响
-3. **可利用性**: 考虑利用难度和前提条件
-4. **业务上下文**: 考虑受影响资产的价值

package/references/test-matrix.md DELETED Viewed

@@ -1,86 +0,0 @@
-# Test Matrix
-构建优先化的安全测试矩阵。
-## 维度
-### 1. 认证 (Authentication)
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| 弱密码策略 | 密码强度要求是否合理 | high |
-| 暴力攻击防护 | 登录是否有速率限制 | critical |
-| 认证绕过 | 是否能绕过认证获取访问 | critical |
-| Token 强度 | JWT/会话 token 是否安全生成 | high |
-| 密码重置 | 密码重置流程是否安全 | high |
-### 2. 授权 (Authorization)
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| IDOR | 对象引用是否可预测 | critical |
-| 水平越权 | 能否访问其他用户数据 | critical |
-| 垂直越权 | 能否获取更高权限 | critical |
-| 功能级访问 | 是否有功能级权限检查 | high |
-| 隐式授权 | trust boundary 是否正确 | high |
-### 3. 输入处理
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| SQL 注入 | 参数化查询是否正确使用 | critical |
-| XSS | 输出是否正确转义 | high |
-| 命令注入 | 系统命令是否可注入 | critical |
-| 路径遍历 | 文件路径是否可操控 | high |
-| 参数污染 | 请求参数是否可污染 | medium |
-### 4. 敏感数据
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| 敏感数据暴露 | API 是否暴露敏感信息 | high |
-| 过度数据返回 | 是否返回过多数据 | medium |
-| 存储敏感数据 | 日志/缓存是否记录敏感数据 | medium |
-| 加密 | 敏感数据是否加密传输/存储 | high |
-### 5. 业务逻辑
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| 流程绕过 | 能否跳过关键步骤 | high |
-| 条件竞争 | 并发请求是否安全 | medium |
-| 批量操作 | 批量请求是否有合理限制 | medium |
-| 逆向推理 | 能否从响应推断未授权数据 | medium |
-### 6. 速率和配额
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| 速率限制 | 是否有合理的速率限制 | high |
-| 配额管理 | 资源配额是否正确实施 | medium |
-| 服务降级 | DoS 场景下行为是否合理 | low |
-### 7. 文档和配置
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| OpenAPI 暴露 | 是否意外暴露 OpenAPI 文档 | medium |
-| 调试端点 | 调试端点是否在生产环境暴露 | medium |
-| CORS 配置 | CORS 配置是否安全 | medium |
-| HTTP 方法 | 是否限制了不安全的 HTTP 方法 | low |
-## 优先级规则
-1. **Critical**: 直接导致未授权访问或数据泄露
-2. **High**: 可能导致安全控制失效
-3. **Medium**: 降低安全边界
-4. **Low**: 信息泄露或次要问题
-## 测试方法
-### 对于每个发现
-1. **验证**: 确认问题存在
-2. **影响评估**: 确定现实影响
-3. **置信度**: 基于证据的置信级别
-4. **修复建议**: 具体可操作的修复方案

package/references/validation.md DELETED Viewed

@@ -1,78 +0,0 @@
-# Validation Guidance
-验证和分类发现。
-## 报告标准
-仅报告有足够支持的问题：
-### 必须包含
-- **受影响资产**: 具体的 API endpoint 或操作
-- **证据**: 请求/响应样本
-- **复现路径**: 清晰的步骤
-- **影响**: 现实世界的影响
-- **置信级别**: 确认/高/中/低/假设
-### 证据不完整时
-- 标记为假设 (hypothesis)、弱信号 (weak signal) 或可能问题 (likely issue)
-- 明确解释确认所需内容
-### 不要
-- 从模糊行为夸大严重性
-- 基于不完整的证据做强声明
-- 假设最坏情况
-## 置信级别
-| 级别 | 标准 |
-|------|------|
-| **确认 (Confirmed)** | 完整的 PoC、明确的证据 |
-| **高 (High)** | 强指标、合理推断 |
-| **中 (Medium)** | 中等指标、需要更多验证 |
-| **低 (Low)** | 弱指标、可能是误报 |
-| **假设 (Hypothesis)** | 基于观察的推断、需要进一步调查 |
-## 影响评估
-### 考虑
-- 攻击复杂度
-- 用户交互需求
-- 数据敏感性
-- 受影响用户数量
-- 财务/合规影响
-### 避免
-- 夸大威胁
-- 基于假设的影响
-- 不切实际的利用场景
-## 验证技术
-### 认证问题
-- 验证 token 伪造是否可能
-- 测试会话管理缺陷
-- 确认账户接管场景
-### 授权问题
-- 测试 IDOR 是否可利用
-- 验证水平/垂直越权
-- 确认权限提升路径
-### 输入处理
-- 使用安全 payload 验证
-- 确认漏洞触发条件
-- 评估利用难度
-### 数据泄露
-- 确认敏感数据暴露
-- 评估信息价值
-- 检查数据聚合风险