🚀 CyberMCP - 基于MCP的网络安全API测试工具
CyberMCP是一款专为测试后端API安全漏洞而打造的Model Context Protocol (MCP)服务器。它提供了一系列专业工具和丰富资源,可供大型语言模型(LLM)识别API中常见的安全问题,助力保障网络安全。
🚀 快速开始
CyberMCP是一款强大的网络安全API测试工具,以下是使用前的准备步骤。
安装
-
克隆仓库:
git clone https://github.com/your-username/CyberMCP.git cd CyberMCP -
安装依赖项:
npm install -
构建项目:
npm run build
运行MCP服务器
你可以使用stdio传输(默认)或HTTP传输运行服务器:
使用stdio传输(与LLM平台集成):
npm start
使用HTTP传输(本地开发和测试):
TRANSPORT=http PORT=3000 npm start
连接到服务器
MCP服务器可连接到任何MCP客户端,包括支持模型上下文协议的大型语言模型平台。
✨ 主要特性
- 认证漏洞测试:检查JWT漏洞、认证绕过和弱认证机制
- 注入测试:测试SQL注入、XSS及其他注入式漏洞
- 数据泄露测试:识别敏感数据泄露问题
- 速率限制测试:测试速率限制绕行和DDoS漏洞
- 安全头测试:检查缺失或配置错误的安全头
- 全面资源库:访问安全测试检查列表和指南
- 认证支持:多种认证方法用于测试受保护端点
📦 安装指南
-
克隆仓库:
git clone https://github.com/your-username/CyberMCP.git cd CyberMCP -
安装依赖项:
npm install -
构建项目:
npm run build
💻 使用示例
基本的使用法
运行MCP服务器
# 使用stdio传输(与LLM平台集成)
npm start
# 使用HTTP传输(本地开发和测试)
TRANSPORT=http PORT=3000 npm start
高级的使用法
示例配置
基本认证示例
{
"basic_auth": {
"username": "admin",
"password": "secure_password"
}
}
OAuth2认证示例
{
"oauth2_auth": {
"client_id": "client_123",
"client_secret": "secret_456",
// 此处可根据实际情况补充完整配置
}
}
📚 详细文档
项目结构
CyberMCP/
├── src/
│ ├── tools/ # MCP工具,用于安全测试
│ ├── resources/ # MCP资源(检查清单、指南)
│ ├── transports/ # 自定义传输实现
│ ├── utils/ # 工具函数和认证管理
│ └── index.ts # 入口文件
├── package.json # 依赖项与脚本
├── tsconfig.json # TypeScript配置
└── README.md # 该文件
安全工具
认证
CyberMCP支持多种认证方法用于测试受保护API:
- 基本认证:使用用户名和密码设置HTTP基本认证
- 令牌认证:使用bearer令牌、JWT或其他自定义令牌格式
- OAuth2认证:完整支持OAuth2流程,包括不同授权类型
- 自定义API登录:通过任何自定义登录API端点进行身份验证
认证工具:
basic_auth:使用用户名/密码进行身份验证token_auth:设置基于令牌的认证oauth2_auth:执行OAuth2认证api_login:通过自定义API端点登录auth_status:检查当前认证状态clear_token:清除令牌
注入测试工具
用于检测常见注入漏洞:
- sql_injection:测试SQL注入漏洞
- xss:测试XSS(跨站脚本)漏洞
- command_injection:测试命令注入漏洞