npm - opencode-api-security-testing - Versions diffs - 5.0.0 → 5.2.1 - Mend

opencode-api-security-testing 5.0.0 → 5.2.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (28) hide show

package/package.json +48 -48
package/postinstall.mjs +40 -69
package/references/references/README.md +0 -72
package/references/references/asset-discovery.md +0 -119
package/references/references/fuzzing-patterns.md +0 -129
package/references/references/graphql-guidance.md +0 -108
package/references/references/intake.md +0 -84
package/references/references/pua-agent.md +0 -192
package/references/references/report-template.md +0 -156
package/references/references/rest-guidance.md +0 -76
package/references/references/severity-model.md +0 -76
package/references/references/test-matrix.md +0 -86
package/references/references/validation.md +0 -78
package/references/references/vulnerabilities/01-sqli-tests.md +0 -1128
package/references/references/vulnerabilities/02-user-enum-tests.md +0 -423
package/references/references/vulnerabilities/03-jwt-tests.md +0 -499
package/references/references/vulnerabilities/04-idor-tests.md +0 -362
package/references/references/vulnerabilities/05-sensitive-data-tests.md +0 -466
package/references/references/vulnerabilities/06-biz-logic-tests.md +0 -501
package/references/references/vulnerabilities/07-security-config-tests.md +0 -511
package/references/references/vulnerabilities/08-brute-force-tests.md +0 -457
package/references/references/vulnerabilities/09-vulnerability-chains.md +0 -465
package/references/references/vulnerabilities/10-auth-tests.md +0 -537
package/references/references/vulnerabilities/11-graphql-tests.md +0 -355
package/references/references/vulnerabilities/12-ssrf-tests.md +0 -396
package/references/references/vulnerabilities/README.md +0 -148
package/references/references/workflows.md +0 -192
package/src/src/index.ts +0 -535

package/references/references/intake.md DELETED Viewed

@@ -1,84 +0,0 @@
-# Intake Checklist
-确认输入和评估模式。
-## 确认提供的内容
-### 必须确认
-- [ ] 目标 URL 或 base URL
-- [ ] API 类型 (REST/GraphQL/混合)
-- [ ] 认证方式 (Bearer Token/JWT/Session/API Key/OAuth)
-- [ ] 测试账户 (如有)
-- [ ] 授权范围
-### 需要明确的
-- [ ] 是否允许主动测试
-- [ ] 是否有速率限制
-- [ ] 测试环境还是生产环境
-- [ ] 是否有 IP 白名单
-## 评估模式
-### 1. 文档驱动审查 (Document-Driven Review)
-**条件**: 只有规范、schema、collection 可用
-**方法**:
-- 分析 OpenAPI/Swagger
-- 分析 Postman collection
-- 分析 API 文档
-- 分析 GraphQL schema
-**限制**:
-- 无法验证运行时行为
-- 无法确认绕过
-- 标记为 hypothesis
-### 2. 被动目标审查 (Passive Target Review)
-**条件**: 存在活动目标，但凭证或主动测试受限
-**方法**:
-- 观察公开端点行为
-- 分析响应结构
-- 识别认证边界
-- 检查信息泄露
-**限制**:
-- 无法测试所有边界
-- 无法验证授权问题
-### 3. 授权主动评估 (Authorized Active Assessment)
-**条件**: 用户提供足够授权和上下文
-**方法**:
-- 测试认证机制
-- 验证授权边界
-- 测试输入处理
-- 验证业务逻辑
-**要求**:
-- 明确的书面授权
-- 测试账户
-- 速率限制说明
-## 假设声明
-如有任何不明确，声明假设：
-```
-Assumptions:
-- [假设 1]
-- [假设 2]
-```
-## 范围限制
-```
-Scope Limitations:
-- [限制 1]
-- [限制 2]
-```

package/references/references/pua-agent.md DELETED Viewed

@@ -1,192 +0,0 @@
-# API Security Testing PUA Agent
-## 角色定义
-你是一个API安全测试专家，代号"渗透测试员P9"。
-你的职责是：
-1. **不放弃** - 任何线索都要追到底
-2. **自动化** - 不等待用户指令
-3. **压力升级** - 遇到失败自动换方法
-4. **进度追踪** - 每一项都要完成
-## 自动触发条件
-### 压力升级触发
-| 失败次数 | 级别 | 行动 |
-|---------|------|------|
-| 1次 | L1 | 换一种方法继续 |
-| 2次 | L2 | 强制搜索更多信息 |
-| 3次 | L3 | 7点检查清单 |
-| 4次 | L4 | 报告并尝试其他方向 |
-### 必须自动执行的情况
-```
-□ 发现配置文件 → 自动分析所有URL
-□ 发现API路径 → 自动批量测试
-□ 发现CORS漏洞 → 自动检查所有端点
-□ 发现登录接口 → 自动测试绕过
-□ 测试完成一项 → 自动检查遗漏
-□ 发现新线索 → 自动开启测试
-□ 用户说"继续" → 不等待，直接执行
-```
-## 进度追踪表
-```
-【当前进度】
-阶段1: 基础探测     [██████████] 100%
-  ├─ □ HTTP探测
-  ├─ □ 技术栈识别
-  ├─ □ SPA判断
-  └─ □ 配置文件发现
-阶段2: JS采集      [████████░░] 80%
-  ├─ □ Playwright采集
-  ├─ □ JS分析
-  └─ □ API路径提取
-阶段3: API测试     [████░░░░░░░] 40%
-  ├─ □ curl批量探测
-  ├─ □ CORS测试 ← 当前
-  ├─ □ SQL注入测试
-  └─ □ 其他漏洞
-阶段4: 漏洞验证    [░░░░░░░░░░░] 0%
-  ├─ □ 漏洞确认
-  ├─ □ 误报排除
-  └─ □ 报告输出
-【发现清单】
-├─ CORS漏洞: 3个端点
-├─ SQL注入: 待测试
-├─ 新线索:
-│   └─ /ipark-wxlite/* (404)
-└─ API端点: 18个
-【下一步行动】
-→ 自动执行: curl批量探测剩余端点
-```
-## 不放弃原则
-### 遇到以下情况必须继续
-| 情况 | 正确做法 |
-|------|----------|
-| 端点404 | 尝试POST方法 |
-| 需要认证 | 尝试绕过方法 |
-| 被WAF拦截 | 换payload测试 |
-| 返回HTML | 这是路由，继续API测试 |
-| 找不到JS | 分析配置文件 |
-| 配置文件为空 | 搜索其他配置 |
-| 单个端点失败 | 测试同类端点 |
-| 说"无法测试" | 必须说明尝试了哪些 |
-### 必须穷举的方法
-```
-【CORS测试】
-1. curl测试GET
-2. curl测试POST
-3. 检查所有端点
-4. 对比响应差异
-【SQL注入测试】
-1. ' OR '1'='1
-2. ' OR 1=1--
-3. ' AND SLEEP(3)--
-4. ' UNION SELECT--
-5. ' AND (SELECT...
-【暴力破解】
-1. 多线程并发
-2. 延时处理
-3. 验证码识别
-4. 换IP测试
-```
-## 自动执行模板
-```
-用户输入: 测试 http://target.com
-【PUA Agent自动执行】
-→ 阶段1: 基础探测 [自动执行]
-   → GET http://target.com
-   → 发现Vue SPA
-   → 发现 /_app.config.js
-   → 【发现配置文件】→ 自动下载分析
-→ 阶段2: JS采集 [自动执行]
-   → Playwright访问
-   → 拦截所有请求
-   → 【发现API路径】→ 批量curl探测
-→ 阶段3: API测试 [自动执行]
-   → 【发现CORS】→ 自动检查所有端点
-   → 【发现登录接口】→ 自动测试绕过
-   → 【发现新线索】→ 自动深入
-→ 阶段4: 漏洞验证 [自动执行]
-   → 【检查清单完成判定】
-   → 【输出报告】
-【每一项都不等待用户指令】
-```
-## 压力升级检查清单
-当失败3次后，必须执行：
-```
-【7点检查清单】
-1. 我测试了所有端点吗？
-   → 没有 → 继续测试
-2. 我尝试了所有HTTP方法吗？
-   → 没有 → GET/POST/PUT/DELETE/OPTIONS
-3. 我尝试了不同的payload吗？
-   → 没有 → 换payload继续
-4. 我检查了所有响应头吗？
-   → 没有 → curl -I 完整检查
-5. 我分析了所有JS文件吗？
-   → 没有 → 递归下载分析
-6. 我测试了绕过方法吗？
-   → 没有 → 换WAF绕过方式
-7. 我记录了所有发现吗？
-   → 没有 → 记录后继续
-```
-## 输出格式
-```
-【发现】
-- 漏洞: CORS配置错误
-- 端点: 18个
-- 风险: 中危
-【证据】
-curl -I -H "Origin: https://evil.com" http://target.com/api/user/info
-ACAO: https://evil.com
-ACAC: true
-【下一步行动】
-→ 自动执行: 检查其他18个端点的CORS
-```
-## 使用方式
-在API Testing Skill中，所有测试都是**自动执行**，不需要用户说"继续"。
-**触发词**: 发现任何线索都自动深入

package/references/references/report-template.md DELETED Viewed

@@ -1,156 +0,0 @@
-# Report Template
-标准化 API 安全报告模板。
----
-## Scope
-- **Target**: [目标 URL 或 base URL]
-- **Assessment Mode**: [文档驱动/被动/主动]
-- **Timeframe**: [评估日期范围]
-- **Authorization**: [授权范围说明]
----
-## Authorization Assumptions
-- [假设已明确授权测试的目标]
-- [假设测试环境的限制]
-- [其他假设条件]
----
-## Asset Summary
-### Base URLs
-```
-- [URL 1]
-- [URL 2]
-```
-### API Type
-```
-[REST / GraphQL / 混合]
-```
-### Auth Schemes
-```
-[认证方式：Bearer Token / JWT / Session / API Key / OAuth]
-```
-### Discovered Endpoints
-| Endpoint | Methods | Auth Required | Risk Level |
-|----------|---------|--------------|------------|
-| /api/users | GET, POST | Yes | High |
-| /api/admin/* | All | Admin | Critical |
-### Sensitive Objects
-```
-- [敏感对象列表]
-```
-### Trust Boundaries
-```
-- [信任边界描述]
-```
----
-## Test Matrix
-| Category | Test Item | Priority | Status |
-|----------|----------|----------|--------|
-| Authentication | 暴力攻击防护 | Critical | Pass |
-| Authorization | IDOR | Critical | FAIL |
-| Input Handling | SQL Injection | High | - |
-| ... | ... | ... | ... |
----
-## Findings
-### Finding 1: [标题]
-**Severity**: [Critical / High / Medium / Low / Informational]
-**Confidence**: [Confirmed / High / Medium / Low / Hypothesis]
-**Affected Asset**:
-```
-[具体 endpoint 或操作]
-```
-**Description**:
-[问题描述]
-**Evidence**:
-```http
-[请求/响应样本]
-```
-**Reproduction**:
-1. [步骤 1]
-2. [步骤 2]
-3. [步骤 3]
-**Impact**:
-[现实影响评估]
-**Remediation**:
-[具体可操作的修复建议]
-**Retest Notes**:
-[复测需要验证的内容]
----
-### Finding 2: ...
----
-## Coverage Gaps
-| Gap | Impact | Recommendation |
-|-----|--------|-----------------|
-| [未覆盖的测试区域] | [影响] | [建议] |
-| [凭证不足，无法验证...] | [影响] | [建议] |
----
-## Overall Risk Summary
-| Risk Level | Count | Findings |
-|------------|-------|----------|
-| Critical | 1 | IDOR in /api/users/{id} |
-| High | 2 | ... |
-| Medium | 3 | ... |
-| Low | 1 | ... |
-### Key Risks
-- [最重要的 3-5 个风险摘要]
-### Recommended Priority
-1. [最优先修复项]
-2. [次优先]
-3. [第三优先]
----
-## Appendix
-### Tools Used
-- [使用的工具列表]
-### References
-- [参考链接]

package/references/references/rest-guidance.md DELETED Viewed

@@ -1,76 +0,0 @@
-# REST Guidance
-当 API 是 REST 风格或面向资源时使用。
-## 关注领域
-- object identifiers in paths and query strings
-- method confusion across the same resource
-- alternate versions exposing weaker controls
-- bulk read and bulk write operations
-- export and import endpoints
-- callback URL configuration
-- file upload and file retrieval
-- verbose errors and debug metadata
-## 常见风险信号
-- `GET /resource/{id}` with predictable IDs
-- `PUT` or `PATCH` routes that accept role, tenant, or owner fields
-- undocumented admin or support routes
-- query parameters affecting filtering, sorting, or joins on sensitive objects
-- separate internal and public route families with inconsistent auth
-- data export endpoints returning broad records with limited user context
-## 推荐分组
-按对象家族或工作流分组 endpoints，而非单独列出每个路由。
-示例分组：
-- user administration
-- billing and invoices
-- file operations
-- reporting and exports
-- organization or tenant management
-- authentication and sessions
-- API key and token management
-- administrative operations
-- data import and bulk updates
-- search and filter operations
-## 特别关注
-### 对象引用
-- 路径中的数字 ID（可预测？）
-- UUID vs 序列号
-- 嵌套资源路径 `/users/{id}/orders/{order_id}`
-### 方法混淆
-- 同资源不同方法（GET vs PUT vs DELETE）
-- PUT 接受不应该能修改的字段（role, tenant_id）
-### 版本差异
-- `/v1/` vs `/v2/` 的安全控制是否一致
-- 旧版本是否暴露更多功能
-### Admin 接口
-- `/admin/` 家族
-- `/internal/` 家族
-- `/debug/` 或 `/manage/`
-### 文件操作
-- `/upload/`
-- `/import/`
-- `/export/`
-- `/download/`
-### 敏感查询
-- 影响 join 的查询参数
-- 排序和过滤敏感对象
-- 分页参数的访问控制

package/references/references/severity-model.md DELETED Viewed

@@ -1,76 +0,0 @@
-# Severity Model
-严重性校准标准。
-## Severity Levels
-### Critical
-直接导致：
-- 未授权的管理员访问
-- 敏感数据大规模泄露
-- 完整的系统入侵
-示例：
-- 认证绕过获取管理员权限
-- SQL 注入导致数据库泄露
-- 硬编码凭证
-### High
-可导致：
-- 未授权的用户数据访问
-- 权限提升
-- 关键业务逻辑绕过
-示例：
-- IDOR 导致其他用户数据泄露
-- 垂直越权获取管理员功能
-- 敏感 API 密钥泄露
-### Medium
-可导致：
-- 有限的用户数据影响
-- 信息泄露
-- 安全控制降低
-示例：
-- 敏感信息在错误消息中暴露
-- 账户枚举
-- 暴力攻击防护缺失
-### Low
-影响有限：
-- 信息披露
-- 次要配置问题
-- 低风险误报
-示例：
-- 调试头暴露
-- OPTIONS 方法可用
-- 详细版本信息泄露
-### Informational
-非安全问题：
-- 最佳实践建议
-- 文档改进建议
-## Confidence Levels
-| Level | 标准 | 要求证据 |
-|-------|------|----------|
-| Confirmed | 完全验证，有 PoC | 完整请求/响应 |
-| High | 强指标 | 请求+响应+影响分析 |
-| Medium | 中等指标 | 观察到的行为 |
-| Low | 弱指标 | 单一响应 |
-| Hypothesis | 理论推断 | 需要进一步调查 |
-## 校准原则
-1. **保守校准**: 证据不确定时，倾向较低严重性
-2. **基于影响**: 考虑真实世界影响
-3. **可利用性**: 考虑利用难度和前提条件
-4. **业务上下文**: 考虑受影响资产的价值

package/references/references/test-matrix.md DELETED Viewed

@@ -1,86 +0,0 @@
-# Test Matrix
-构建优先化的安全测试矩阵。
-## 维度
-### 1. 认证 (Authentication)
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| 弱密码策略 | 密码强度要求是否合理 | high |
-| 暴力攻击防护 | 登录是否有速率限制 | critical |
-| 认证绕过 | 是否能绕过认证获取访问 | critical |
-| Token 强度 | JWT/会话 token 是否安全生成 | high |
-| 密码重置 | 密码重置流程是否安全 | high |
-### 2. 授权 (Authorization)
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| IDOR | 对象引用是否可预测 | critical |
-| 水平越权 | 能否访问其他用户数据 | critical |
-| 垂直越权 | 能否获取更高权限 | critical |
-| 功能级访问 | 是否有功能级权限检查 | high |
-| 隐式授权 | trust boundary 是否正确 | high |
-### 3. 输入处理
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| SQL 注入 | 参数化查询是否正确使用 | critical |
-| XSS | 输出是否正确转义 | high |
-| 命令注入 | 系统命令是否可注入 | critical |
-| 路径遍历 | 文件路径是否可操控 | high |
-| 参数污染 | 请求参数是否可污染 | medium |
-### 4. 敏感数据
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| 敏感数据暴露 | API 是否暴露敏感信息 | high |
-| 过度数据返回 | 是否返回过多数据 | medium |
-| 存储敏感数据 | 日志/缓存是否记录敏感数据 | medium |
-| 加密 | 敏感数据是否加密传输/存储 | high |
-### 5. 业务逻辑
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| 流程绕过 | 能否跳过关键步骤 | high |
-| 条件竞争 | 并发请求是否安全 | medium |
-| 批量操作 | 批量请求是否有合理限制 | medium |
-| 逆向推理 | 能否从响应推断未授权数据 | medium |
-### 6. 速率和配额
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| 速率限制 | 是否有合理的速率限制 | high |
-| 配额管理 | 资源配额是否正确实施 | medium |
-| 服务降级 | DoS 场景下行为是否合理 | low |
-### 7. 文档和配置
-| 测试项 | 说明 | 优先级 |
-|--------|------|--------|
-| OpenAPI 暴露 | 是否意外暴露 OpenAPI 文档 | medium |
-| 调试端点 | 调试端点是否在生产环境暴露 | medium |
-| CORS 配置 | CORS 配置是否安全 | medium |
-| HTTP 方法 | 是否限制了不安全的 HTTP 方法 | low |
-## 优先级规则
-1. **Critical**: 直接导致未授权访问或数据泄露
-2. **High**: 可能导致安全控制失效
-3. **Medium**: 降低安全边界
-4. **Low**: 信息泄露或次要问题
-## 测试方法
-### 对于每个发现
-1. **验证**: 确认问题存在
-2. **影响评估**: 确定现实影响
-3. **置信度**: 基于证据的置信级别
-4. **修复建议**: 具体可操作的修复方案