Pentest API Attacker: OWASP API 安全测试 - Openclaw Skills
作者:互联网
2026-03-28
AI教程
什么是 Pentest API Attacker?
Pentest API Attacker 是 Openclaw Skills 生态系统中的专用安全模块,专注于识别 API 架构中的漏洞。它能自动发现端点并执行针对性攻击,以揭示业务逻辑缺陷、身份验证滥用和特定协议的弱点。通过与 PTES 和 MITRE ATT&CK (T1190) 等行业框架对齐,它为安全研究人员提供了一种标准化的方式来开展授权的渗透测试。
该技能专为精准和论理而构建,在进行任何主动扫描之前都需要严格的范围验证。它利用确定性构件确保发现结果能够集成到更广泛的安全工作流中。无论您是在进行独立审计还是将安全集成到流水线中,此工具都能确保您的 Openclaw Skills 配置在面对现代 API 威胁时保持稳健。
下载入口:https://github.com/openclaw/skills/tree/main/skills/0x-professor/pentest-api-attacker
安装与下载
1. ClawHub CLI
从源直接安装技能的最快方式。
npx clawhub@latest install pentest-api-attacker
2. 手动安装
将技能文件夹复制到以下位置之一
全局模式~/.openclaw/skills/
工作区
/skills/ 优先级:工作区 > 本地 > 内置
3. 提示词安装
将此提示词复制到 OpenClaw 即可自动安装。
请帮我使用 Clawhub 安装 pentest-api-attacker。如果尚未安装 Clawhub,请先安装(npm i -g clawhub)。
Pentest API Attacker 应用场景
- 在渗透测试期间发现未记录或“影子”API 端点。
- 测试身份验证绕过和失效的对象级授权 (BOLA) 漏洞。
- 针对 OWASP WSTG 和 NIST SP 800-115 标准自动进行安全合规检查。
- 在 Openclaw Skills 内部为漏洞报告生成可重现的漏洞利用证明 (PoC) 说明。
- 该技能根据提供的 scope.json 验证目标,以防止未经授权或超出范围的测试。
- 执行发现和枚举以映射 API 攻击面。
- 根据 OWASP 和 MITRE ATT&CK 方法论执行针对性的安全检查。
- 漏洞以规范的发现格式记录,并附带详细的 PoC 说明。
- 导出确定性 JSON 报告,供其他工具或人工分析师使用。
Pentest API Attacker 配置指南
要在您的 Openclaw Skills 环境中使用此技能,请确保您拥有所需的脚本和有效的范围定义。
# 在空运行模式下运行攻击程序以验证逻辑
python skills/pentest-api-attacker/scripts/api_attacker.py --scope scope.json --target --input --output --format json --dry-run
# 执行实战测试(需要显式授权标志)
python skills/pentest-api-attacker/scripts/api_attacker.py --scope scope.json --target --i-have-authorization
Pentest API Attacker 数据架构与分类体系
Pentest API Attacker 生成结构化的 JSON 构件,以维护 Openclaw Skills 工作流中的数据完整性:
| 构件 | 描述 |
|---|---|
api-endpoints.json |
已发现的 API 路由、方法和参数的详细列表。 |
api-findings.json |
映射到规范 finding_schema 的详细安全发现。 |
api-attack-report.json |
综合攻击会话结果的总结报告。 |
name: pentest-api-attacker
description: Test APIs against OWASP API Security Top 10 including discovery, auth abuse, and protocol-specific checks.
Pentest API Attacker
Stage
- PTES: 5
- MITRE: T1190
Objective
Enumerate and test API endpoints and business logic attack vectors.
Required Workflow
- Validate scope before any active action and reject out-of-scope targets.
- Run only authorized checks aligned to PTES, OWASP WSTG, NIST SP 800-115, and MITRE ATT&CK.
- Write findings in canonical finding_schema format with reproducible PoC notes.
- Honor dry-run mode and require explicit --i-have-authorization for live execution.
- Export deterministic artifacts for downstream skill consumption.
Execution
python skills/pentest-api-attacker/scripts/api_attacker.py --scope scope.json --target --input --output --format json --dry-run
Outputs
api-endpoints.jsonapi-findings.jsonapi-attack-report.json
References
references/tools.mdskills/autonomous-pentester/shared/scope_schema.jsonskills/autonomous-pentester/shared/finding_schema.json
Legal and Ethical Notice
WARNING AUTHORIZED USE ONLY
This skill executes real security testing tools against live targets.
Use only with written authorization.
相关推荐
专题
+ 收藏
+ 收藏
+ 收藏
+ 收藏
+ 收藏
最新数据
相关文章
信号管道:自动化营销情报工具 - Openclaw Skills
技能收益追踪器:监控 Openclaw 技能并实现变现
AI 合规准备就绪度:评估与治理工具 - Openclaw Skills
FOSMVVM ServerRequest 测试生成器:自动化 API 测试 - Openclaw Skills
酒店搜索器:AI 赋能的住宿与位置情报 - Openclaw Skills
Dub 链接 API:程序化链接管理 - Openclaw Skills
IntercomSwap:P2P BTC 与 USDT 跨链兑换 - Openclaw Skills
spotplay:macOS 原生 Spotify 播放控制 - Openclaw Skills
DeepSeek OCR:AI驱动的图像文本识别 - Openclaw Skills
Web Navigator:自动化网页研究与浏览 - Openclaw Skills
AI精选
