Cybermcp (API Security Testing)

🚀 網絡安全 API 測試中的 MCP 協議 - CyberMCP

CyberMCP 是一款基於 Model Context Protocol (MCP) 的服務器，專為檢測後端 API 安全漏洞而打造。它為大型語言模型（LLMs）提供了一系列專業工具與資源，可有效識別 API 中常見的安全問題。

🚀 快速開始

安裝

1. 克隆倉庫：

   git clone https://github.com/your-username/CyberMCP.git
   cd CyberMCP
   

2. 安裝依賴項：

   npm install
   

3. 構建項目：

   npm run build
   

運行 MCP 服務器

您可以使用標準輸入輸出傳輸（默認）或 HTTP 傳輸來運行服務器：

• 使用標準輸入輸出傳輸（適用於與 LLM 平臺集成）：

npm start

• 使用 HTTP 傳輸：

npm run dev

配置文件

在項目根目錄下創建一個 config.json 文件，內容如下：

{
  "server": {
    "port": 3000,
    "host": "localhost"
  },
  "tools": {
    "enableDebug": true,
    "logLevel": "info"
  }
}

✨ 主要特性

• 身份驗證漏洞測試：檢查 JWT 漏洞、繞過身份驗證和弱身份驗證機制。
• 注入測試：測試 SQL 注入、XSS 和其他注入型漏洞。
• 數據洩露測試：識別敏感數據暴露問題。
• 速率限制測試：測試速率限制繞過和 DDoS 漏洞。
• 安全頭測試：檢查缺失或配置錯誤的安全頭。
• 全面資源：訪問 API 安全測試的檢查清單和指南。
• 身份驗證支持：多種身份驗證方法用於測試受保護端點。

📚 詳細文檔

項目結構

CyberMCP/
├── src/
│   ├── tools/           # MCP 工具，用於安全測試
│   ├── resources/       # MCP 資源（檢查清單、指南）
│   ├── transports/      # 自定義傳輸實現
│   ├── utils/           # 工具函數和身份驗證管理
│   └── index.ts         # 入口文件
├── package.json         # 依賴項和腳本
├── tsconfig.json        # TypeScript 配置
└── README.md            # 該文件

安全工具

身份驗證配置示例

• JWT 配置

{
  "auth": {
    "type": "jwt",
    "secret": "your-secret-key",
    "issuer": "your-issuer",
    "audience": "your-audience"
  }
}

• OAuth 配置

{
  "auth": {
    "type": "oauth2",
    "clientID": "your-client-id",
    "clientSecret": "your-client-secret",
    "tokenURL": "https://example.com/oauth/token",
    "redirectURI": "http://localhost:3000/callback"
  }
}

資源

檢查清單

• 身份驗證：檢查所有 API 端點是否需要適當的認證和授權。
• 輸入驗證：確保所有用戶輸入都經過嚴格的格式和類型檢查。
• 錯誤處理：測試 API 是否正確處理各種異常情況，如無效參數或數據庫故障。

指南

1. 日誌記錄：啟用詳細的日誌記錄以監控 API 的行為，並及時發現潛在的安全問題。
2. 定期審計：定期對 API 進行安全審計，確保其符合最新的安全標準和最佳實踐。
3. 測試套件：使用自動化測試工具（如 Postman 或 Swagger）創建全面的測試套件，覆蓋所有關鍵功能和邊界情況。

📄 許可證

本項目採用 MIT 許可證。