Cybermcp

🚀 CyberMCP - 基於MCP的網絡安全API測試工具

CyberMCP是一款專為測試後端API安全漏洞而打造的Model Context Protocol (MCP)服務器。它提供了一系列專業工具與資源，可供大型語言模型（LLM）識別API中常見的安全問題，助力提升API的安全性。

✨ 主要特性

• 認證漏洞測試：可檢查JWT漏洞、認證繞過以及弱認證機制等問題。
• 注入測試：對SQL注入、XSS及其他注入式漏洞進行測試。
• 數據洩露測試：精準識別敏感數據洩露問題。
• 速率限制測試：測試速率限制繞行和DDoS漏洞。
• 安全頭測試：檢查是否存在缺失或配置錯誤的安全頭。
• 全面資源庫：可訪問安全測試檢查列表和指南。
• 認證支持：提供多種認證方法，用於測試受保護端點。

📦 安裝指南

1. 克隆倉庫：

   git clone https://github.com/your-username/CyberMCP.git
   cd CyberMCP
   

2. 安裝依賴項：

   npm install
   

3. 構建項目：

   npm run build
   

💻 使用示例

運行MCP服務器

你可以使用stdio傳輸（默認）或HTTP傳輸來運行服務器：

基本的な使用法

使用stdio傳輸（與LLM平臺集成）：

npm start

高度な使用法

使用HTTP傳輸（本地開發和測試）：

TRANSPORT=http PORT=3000 npm start

連接到服務器

MCP服務器可連接到任何MCP客戶端，包括支持模型上下文協議的大型語言模型平臺。

📚 詳細文檔

安全工具

認證

CyberMCP支持多種認證方法，用於測試受保護的API：

• 基本認證：使用用戶名和密碼設置HTTP基本認證。
• 令牌認證：使用bearer令牌、JWT或其他自定義令牌格式。
• OAuth2認證：完整支持OAuth2流程，包括不同授權類型。
• 自定義API登錄：通過任何自定義登錄API端點進行身份驗證。

認證工具：

• basic_auth：使用用戶名/密碼進行身份驗證。
• token_auth：設置基於令牌的認證。
• oauth2_auth：執行OAuth2認證。
• api_login：通過自定義API端點登錄。
• auth_status：檢查當前認證狀態。
• clear_token：清除令牌。

注入測試工具

用於檢測常見的注入漏洞：

• sql_injection：測試SQL注入漏洞。
• xss：測試XSS（跨站腳本）漏洞。
• command_injection：測試命令注入漏洞。

示例配置

基本認證示例

{
  "basic_auth": {
    "username": "admin",
    "password": "secure_password"
  }
}

OAuth2認證示例

{
  "oauth2_auth": {
    "client_id": "client_123",
    "client_secret": "secret_456"
  }
}

🔧 技術細節

項目結構

CyberMCP/
├── src/
│   ├── tools/           # MCP工具，用於安全測試
│   ├── resources/       # MCP資源（檢查清單、指南）
│   ├── transports/      # 自定義傳輸實現
│   ├── utils/           # 工具函數和認證管理
│   └── index.ts         # 入口文件
├── package.json         # 依賴項與腳本
├── tsconfig.json        # TypeScript配置
└── README.md            # 該文件