wgpsec/api-fuzz
skills/exploit/web-method/api-fuzz/SKILL.md
REST/GraphQL API 安全测试方法论。当目标有 API 端点(/api/、JSON 响应)、Swagger/OpenAPI 文档暴露、通过 js-api-extract 或目录扫描获得端点列表时使用。覆盖 API 发现、认证测试、框架识别、语义分析智能 Fuzz(根据端点语义推断参数名/类型/业务含义构造精准 payload)、Prototype Pollution、请求走私。IDOR → idor-methodology | GraphQL → graphql-methodology | CSRF → csrf-methodology。任何涉及 API 端点安全测试、参数发现、权限边界测试的场景都应使用此 skill
$ install --global
skillsauthnpx skillsauth add wgpsec/AboutSecurity api-fuzzInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 24, 2026, 5:45 AM73.7s7 files scanned
SKILL.md
- name:
- api-fuzz
- description:
- REST/GraphQL API 安全测试方法论。当目标有 API 端点(/api/、JSON 响应)、Swagger/OpenAPI 文档暴露、通过 js-api-extract 或目录扫描获得端点列表时使用。覆盖 API 发现、认证测试、框架识别、语义分析智能 Fuzz(根据端点语义推断参数名/类型/业务含义构造精准 payload)、Prototype Pollution、请求走私。IDOR → idor-methodology | GraphQL → graphql-methodology | CSRF → csrf-methodology。任何涉及 API 端点安全测试、参数发现、权限边界测试的场景都应使用此 skill
- tags:
- api,fuzz,rest,json,swagger,openapi,endpoint,认证,原型链污染,semantic,parameter,crud,权限,参数猜测,智能fuzz
- category:
- exploit
API 安全测试方法论
⛔ 深入参考(必读)
- 认证绕过技巧、参数注入、Mass Assignment、请求走私 → references/api-attack-techniques.md
- 403/405 绕过(资源后缀fuzz字典、POST空JSON、Vue Hash路由、前缀发现)→ references/403-bypass-patterns.md
- 端点语义分析、RESTful CRUD 推断、参数发现、智能 Fuzz、权限边界测试、响应分析 → references/api-semantic-fuzz.md
- 按参数语义分类的 Fuzz payload 模板(ID/查询/文件/金额/命令/Header) → references/api-fuzz-payloads.md
Phase 1: API 发现与文档
端点发现
重点路径:/api/, /v1/, /v2/, /graphql, /rest/
文档泄露(最大信息源)
/docs,/swagger,/swagger-ui,/swagger-ui.html/api-docs,/openapi.json,/openapi.yaml
框架识别
| 框架 | 特征 | 常见问题 |
|------|------|----------|
| Spring Boot | /actuator 端点 | Actuator 信息泄露、SpEL 注入 |
| Express/Koa | X-Powered-By: Express | 原型链污染 |
| FastAPI | /docs 自动生成 | 默认开启 Swagger |
| Django REST | /api/?format=json | 序列化器过度暴露 |
| Laravel | JSON API + PHP | Mass Assignment |
Phase 2: 认证测试
API 端点已确认?
├─ 去掉认证头 → 未认证访问?
├─ IP/路径/方法绕过 → [references/api-attack-techniques.md](references/api-attack-techniques.md)
├─ JWT → 参考 jwt-attack-methodology
└─ OAuth → 参考 oauth-sso-attack
Phase 3: 语义分析与智能 Fuzz
拿到端点列表后,先分析每个端点的业务含义,不要盲目跑字典。
RESTful CRUD 推断
发现 GET /api/users/123 → 推断 POST(创建)/PUT(修改)/DELETE(删除)/PATCH(Mass Assignment) 端点
路径语义→测试方向(关键速查)
| 端点关键词 | 测试方向 |
|-----------|----------|
| users/{id}, order/{id} | IDOR 遍历 |
| search, query, q= | SQL 注入、XSS |
| upload, import | 文件上传绕过 |
| proxy, url=, redirect | SSRF、开放重定向 |
| template, render | SSTI |
| exec, run, cmd | 命令注入 |
| pay, amount, price | 金额篡改(负数/零/极大值) |
| admin, manage, config | 越权访问(最高优先级) |
→ 完整语义分析方法(参数发现、Content-Type 变体、响应分析、IDOR 批量验证、权限边界测试) → references/api-semantic-fuzz.md → 各类型参数的 Fuzz payload 模板 → references/api-fuzz-payloads.md
Phase 4: 专项测试入口
| 漏洞类型 | 关注点 | |---------|--------| | IDOR(越权访问他人数据) | 遍历 ID/UUID、对比不同用户响应 | | GraphQL 专项 | Introspection/注入/权限绕过 | | CSRF(跨站诱导执行操作) | Token 验证、SameSite、Referer 检查 | | CORS(跨域数据读取) | Origin 白名单、凭据模式 |
Phase 5: 其他测试
Prototype Pollution / Node.js 特有
__proto__/constructor.prototype— 污染 payload- 利用链:eval、模板注入(SSTI)、服务端 JS 执行
请求走私
- references/api-attack-techniques.md
路径解析差异
- 前后端不一致或代理层差异可绕过鉴权
- 路径变体:
/api/admin/.、trailing dot、/api/admin/..;/public
注意事项
- API 通常用 JSON,设置
Content-Type: application/json - 错误信息比 Web 更详细——重要的信息泄露来源
- API 版本差异(v1 可能有漏洞但 v2 修复了,v1 未下线)
- 先跑语义分析再 fuzz,不要盲目发请求浪费时间
- 管理类端点(
/admin/,/manage/)优先级最高 - 每确认一个漏洞立即
evidence_save+report_vuln
Related Skills
wgpsec/azure-pentesting
testing
VerifiedTrustedCommunity
Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产(Blob Storage/App Service/Azure VM/Azure Functions)、获取 Azure 凭据(Service Principal/Managed Identity/Access Token)、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面
1,393SKILL.mdUpdated Apr 24, 2026
wgpsec/mythic-c2
tools
VerifiedTrustedCommunity
Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务,或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断
1,345SKILL.mdUpdated May 22, 2026
wgpsec/docker-pentesting
development
VerifiedTrustedCommunity
Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能
1,345SKILL.mdUpdated May 22, 2026
wgpsec/padbuster-padding-oracle
development
VerifiedTrustedCommunity
使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文,适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能
1,345SKILL.mdUpdated May 6, 2026