🚀 网络安全 API 测试中的 MCP 协议 - CyberMCP
CyberMCP 是一款基于 Model Context Protocol (MCP) 的服务器,专为检测后端 API 安全漏洞而打造。它为大型语言模型(LLMs)提供了一系列专业工具与资源,可有效识别 API 中常见的安全问题。
🚀 快速开始
安装
- 克隆仓库:
git clone https://github.com/your-username/CyberMCP.git cd CyberMCP - 安装依赖项:
npm install - 构建项目:
npm run build
运行 MCP 服务器
您可以使用标准输入输出传输(默认)或 HTTP 传输来运行服务器:
- 使用标准输入输出传输(适用于与 LLM 平台集成):
npm start
- 使用 HTTP 传输:
npm run dev
配置文件
在项目根目录下创建一个 config.json 文件,内容如下:
{
"server": {
"port": 3000,
"host": "localhost"
},
"tools": {
"enableDebug": true,
"logLevel": "info"
}
}
✨ 主要特性
- 身份验证漏洞测试:检查 JWT 漏洞、绕过身份验证和弱身份验证机制。
- 注入测试:测试 SQL 注入、XSS 和其他注入型漏洞。
- 数据泄露测试:识别敏感数据暴露问题。
- 速率限制测试:测试速率限制绕过和 DDoS 漏洞。
- 安全头测试:检查缺失或配置错误的安全头。
- 全面资源:访问 API 安全测试的检查清单和指南。
- 身份验证支持:多种身份验证方法用于测试受保护端点。
📚 详细文档
项目结构
CyberMCP/
├── src/
│ ├── tools/ # MCP 工具,用于安全测试
│ ├── resources/ # MCP 资源(检查清单、指南)
│ ├── transports/ # 自定义传输实现
│ ├── utils/ # 工具函数和身份验证管理
│ └── index.ts # 入口文件
├── package.json # 依赖项和脚本
├── tsconfig.json # TypeScript 配置
└── README.md # 该文件
安全工具
身份验证配置示例
- JWT 配置
{
"auth": {
"type": "jwt",
"secret": "your-secret-key",
"issuer": "your-issuer",
"audience": "your-audience"
}
}
- OAuth 配置
{
"auth": {
"type": "oauth2",
"clientID": "your-client-id",
"clientSecret": "your-client-secret",
"tokenURL": "https://example.com/oauth/token",
"redirectURI": "http://localhost:3000/callback"
}
}
资源
检查清单
- 身份验证:检查所有 API 端点是否需要适当的认证和授权。
- 输入验证:确保所有用户输入都经过严格的格式和类型检查。
- 错误处理:测试 API 是否正确处理各种异常情况,如无效参数或数据库故障。
指南
- 日志记录:启用详细的日志记录以监控 API 的行为,并及时发现潜在的安全问题。
- 定期审计:定期对 API 进行安全审计,确保其符合最新的安全标准和最佳实践。
- 测试套件:使用自动化测试工具(如 Postman 或 Swagger)创建全面的测试套件,覆盖所有关键功能和边界情况。
📄 许可证
本项目采用 MIT 许可证。