🛠️ 開発・MCP コミュニティ

api-security-tester

攻撃対象領域のマッピングから検証済みの検出結果と修復メモまで、エンドツーエンドのAPIセキュリティテストを実行するためのSkillです。

📜 元の英語説明(参考)

Execute end-to-end API security testing from attack-surface mapping through validated findings and remediation notes.

🇯🇵 日本人クリエイター向け解説

一言でいうと

攻撃対象領域のマッピングから検証済みの検出結果と修復メモまで、エンドツーエンドのAPIセキュリティテストを実行するためのSkillです。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux

mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o api-security-tester.zip https://jpskill.com/download/6055.zip && unzip -o api-security-tester.zip && rm api-security-tester.zip

🪟 Windows (PowerShell)

$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/6055.zip -OutFile "$d\api-security-tester.zip"; Expand-Archive "$d\api-security-tester.zip" -DestinationPath $d -Force; ri "$d\api-security-tester.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)

1. 下の青いボタンを押して api-security-tester.zip をダウンロード
2. ZIPファイルをダブルクリックで解凍 → api-security-tester フォルダができる
3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
4. Claude Code を再起動

⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
- · macOS / Linux: ~/.claude/skills/
- · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →

最終更新: 2026-05-17
取得日時: 2026-05-17
同梱ファイル: 1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

APIセキュリティテスター

目的

強力な証拠規律と予測可能な出力で、完全なAPI評価サイクルを実行します。

入力

target_base_url
api_spec_or_collection
auth_context
engagement_rules

標準テスト順序

ディスカバリとエンドポイントの正規化。
認証と認可のチェック。
入力処理とインジェクションのチェック。
ワークフローとステートマシンの悪用チェック。
影響の確認と検証。

実行ワークフロー

フェーズ1：ディスカバリ

エンドポイントと信頼マップを構築します。
コンテンツタイプ、スキーマ検証、バージョン管理を確認します。
機密性の高い操作と特権パスを特定します。

フェーズ2：アクセスコントロール

オブジェクトレベルのアクセスコントロールをテストします。
ロールによる機能レベルの認可をテストします。
テナント境界の分離をテストします。

フェーズ3：入力の悪用

シンククラスによるインジェクション候補。
作成/更新時のマスアサインメント。
検索APIでのフィルター/オペレーターの悪用。

フェーズ4：ワークフローの悪用

前提条件となるステップをバイパスします。
トランジションをリプレイまたは並べ替えます。
バルク操作と非同期操作を悪用します。

フェーズ5：検証

ポジティブな結果を独立して確認します。
修正に関連する根本原因を特定します。
弱い発見の評価を下げたり、異議を唱えたりします。

最小テストマトリックス

カテゴリ	必須アサーション
認証	未認証アクセスが一貫して拒否されること
認可	外部オブジェクトと特権アクションがブロックされること
入力検証	不正な形式および悪意のあるペイロードが安全に処理されること
エラー処理	エラーボディに内部情報が漏洩しないこと
状態遷移	無効な遷移が拒否されること
レート制限	機密性の高い操作がスロットリングされること

出力契約

{
  "scope_summary": {},
  "test_log": [],
  "confirmed_vulnerabilities": [],
  "verification_notes": [],
  "remediation_guidance": []
}

制約

テストは再現可能で、かつ適切な規模に保ちます。
ビジネスへの影響なしに、過度に深刻度を主張しないでください。

品質チェックリスト

[ ] カバレッジには認証、認可、入力、ワークフローが含まれています。
[ ] 発見事項には明確なエクスプロイトパスが含まれています。
[ ] 修正はコード/制御の失敗に関連しています。

詳細なオペレーターノート

再現性標準

確認された各ケースを新しいセッションでリプレイします。
少なくとも1つのペイロードまたはトランスポートバリアントでリプレイします。
ポジティブな主張ごとに1つのネガティブコントロールリクエストを保持します。

誤検知コントロール

タイミングシグナルについては、一致するコントロールペイロードと比較します。
認可シグナルについては、所有権が正しいオブジェクトと所有権が正しくないオブジェクトで検証します。
パーサーシグナルについては、エラー形状の変化だけでなく、意味的な効果を検証します。

深刻度キャリブレーション入力

必要な攻撃者の特権。
クロステナントまたはシングルテナントへの影響。
大規模な自動化の可能性。
データ機密性の度合い。

レポートルール

正確なリクエストシグネチャ（メソッド、パス、主要ヘッダー、ペイロードハッシュ）を含めます。
検証実行回数と一貫性に関するメモを含めます。
代替の説明が却下された理由を含めます。

条件付き決定マトリックス

条件	アクション	証拠要件
エンドポイントが文書化されていないが到達可能	インベントリに追加し、認可チェックを優先	リクエスト/レスポンスのベースライン + 認証動作
認証動作がメソッド間で一貫しない	メソッドとコンテンツタイプでテストを分割	メソッドごとのステータス + ボディシグネチャ
時間ベースの異常のみ	一致するコントロールタイミングシリーズを実行	繰り返し実行されたコントロール/テストのタイミングトレース
オブジェクトアクセスがロールによって異なる	クロステナント/クロスロールチェックにエスカレート	ロールタグ付きリプレイの証拠
検証がパーサーによって異なる	意味的に同等のコンテンツタイプテストを実行	パーサーパスの差分証拠

高度なカバレッジ拡張

ソフト削除またはアーカイブされたリソースに対するネガティブオブジェクトテストを追加します。
冪等性と重複処理のためのリプレイウィンドウテストを追加します。
部分的な認可失敗に対するバルクエンドポイント悪用テストを追加します。
古い権限スナップショットに対する非同期ジョブハンドオフチェックを追加します。
隠れたデータ露出に対するページネーション/フィルター悪用チェックを追加します。

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

API Security Tester

Purpose

Run a complete API assessment cycle with strong evidence discipline and predictable output.

Inputs

target_base_url
api_spec_or_collection
auth_context
engagement_rules

Standard Test Order

Discovery and endpoint normalization.
Auth and authorization checks.
Input handling and injection checks.
Workflow and state-machine abuse checks.
Impact confirmation and verification.

Execution Workflow

Phase 1: Discovery

Build endpoint and trust map.
Confirm content types, schema validation, and versioning.
Identify sensitive operations and privileged paths.

Phase 2: Access Control

Test object-level access control.
Test function-level authorization by role.
Test tenant boundary isolation.

Phase 3: Input Abuse

Injection candidates by sink class.
Mass assignment on create/update.
Filter/operator abuse on search APIs.

Phase 4: Workflow Abuse

Bypass prerequisite steps.
Replay or reorder transitions.
Abuse bulk and async operations.

Phase 5: Verification

Independently confirm positives.
Capture remediation-relevant root cause.
Downgrade or dispute weak findings.

Minimum Test Matrix

Category	Required Assertions
Authentication	unauthenticated access rejected consistently
Authorization	foreign objects and privileged actions are blocked
Input validation	malformed and malicious payloads handled safely
Error handling	no internal leakage in error bodies
State transitions	invalid transitions rejected
Rate limiting	sensitive operations throttled

Output Contract

{
  "scope_summary": {},
  "test_log": [],
  "confirmed_vulnerabilities": [],
  "verification_notes": [],
  "remediation_guidance": []
}

Constraints

Keep tests reproducible and proportional.
Do not overclaim severity without business impact.

Quality Checklist

[ ] Coverage includes auth, authz, input, workflow.
[ ] Findings include clear exploit path.
[ ] Remediation ties to code/control failure.

Detailed Operator Notes

Reproducibility Standard

Replay each confirmed case in a fresh session.
Replay with at least one payload or transport variant.
Keep one negative control request for every positive claim.

False-Positive Controls

For timing signals, compare against matched control payloads.
For authz signals, verify with ownership-correct and ownership-incorrect objects.
For parser signals, verify semantic effect, not just error shape changes.

Severity Calibration Inputs

Required attacker privilege.
Cross-tenant or single-tenant impact.
Ability to automate at scale.
Degree of data sensitivity.

Reporting Rules

Include exact request signatures (method, path, key headers, payload hash).
Include verification run count and consistency notes.
Include why alternative explanations were rejected.

Conditional Decision Matrix

Condition	Action	Evidence Requirement
Endpoint undocumented but reachable	Add to inventory and prioritize authz checks	request/response baseline + auth behavior
Auth behavior inconsistent across methods	Split tests by method and content type	per-method status + body signatures
Time-based anomaly only	run matched control timing series	repeated control/test timing traces
Object access differs by role	escalate to cross-tenant/cross-role checks	role-tagged replay proof
Validation differs by parser	run semantic-equivalent content-type tests	parser-path differential evidence

Advanced Coverage Extensions

Add negative-object tests for soft-deleted or archived resources.
Add replay-window tests for idempotency and duplicate processing.
Add bulk endpoint abuse tests for partial authorization failures.
Add asynchronous job handoff checks for stale permission snapshots.
Add pagination/filter abuse checks for hidden data exposure.