Ce que fait cette compétence

Fournit un workflow par étapes pour auditer et tester la sécurité des points de terminaison (endpoints) API REST et GraphQL. Couvre la découverte/énumération, les vérifications d'authentification et d'autorisation, les tests de validation d'entrées et d'injection, les vérifications de limitation du débit (rate-limiting), les tests spécifiques à GraphQL et la revue de la gestion des erreurs. Inclut des checklists et des suggestions d'invocations de compétences pour le fuzzing et le scanning.

Quand l'utiliser

Utilisez cette compétence lors de la réalisation d'évaluations de sécurité, de tests de type bug-bounty, de validations de sécurité pré-version ou de tests d'intrusion focalisés sur les endpoints API. Convient aux ingénieurs sécurité, aux équipes QA et aux pipelines de sécurité automatisés.

Ce qui est inclus

Scripts : aucun script groupé dans SKILL.md.
Références : aucune référence groupée, mais le workflow renvoie vers des bundles de compétences connexes (security-audit, web-security-testing).
Instructions : actions phasées claires (découverte API, test d'auth, test d'autorisation, validation d'entrées, limitation du débit, test GraphQL, gestion des erreurs) avec des prompts prêts à copier-coller pour invoquer des compétences complémentaires. Inclut également une checklist et des jalons de qualité.

Agents compatibles

Idéalement utilisée avec des agents capables d'orchestrer des outils et plugins de sécurité (scanners, fuzzers) tels que des assistants de type Claude/Copilot ou des agents d'automatisation pouvant appeler des outils de sécurité externes.