Skip to main content
Glama
enesjakozh

CyberMCP

by ricauts
GitHub
TypeScript
MIT License
5
OverviewInspectNewSchemaRelated ServersReviewsScore
Need Help?View Source CodeReport Issue

CyberMCP - Pruebas de API de ciberseguridad con MCP

CyberMCP es un servidor de Protocolo de Contexto de Modelo (MCP) diseñado para evaluar las API backend en busca de vulnerabilidades de seguridad. Proporciona un conjunto de herramientas y recursos especializados que los LLM pueden usar para identificar problemas de seguridad comunes en las API.

Características

  • Prueba de vulnerabilidad de autenticación : verifique vulnerabilidades de JWT, omisión de autenticación y mecanismos de autenticación débiles
  • Pruebas de inyección : prueba de inyección SQL, XSS y otras vulnerabilidades de inyección
  • Pruebas de fuga de datos : identifique problemas de exposición de datos confidenciales
  • Pruebas de limitación de velocidad : prueba para eludir la limitación de velocidad y vulnerabilidades DDoS
  • Prueba de encabezados de seguridad : verifique si hay encabezados de seguridad faltantes o mal configurados
  • Recursos completos : listas de verificación de acceso y guías para pruebas de seguridad de API
  • Compatibilidad con autenticación : múltiples métodos de autenticación para probar puntos finales seguros

Estructura del proyecto

CyberMCP/ ├── src/ │ ├── tools/ # MCP tools for security testing │ ├── resources/ # MCP resources (checklists, guides) │ ├── transports/ # Custom transport implementations │ ├── utils/ # Utility functions and auth management │ └── index.ts # Main entry point ├── package.json # Dependencies and scripts ├── tsconfig.json # TypeScript configuration └── README.md # This file

Instalación

  1. Clonar el repositorio:
    git clone https://github.com/your-username/CyberMCP.git cd CyberMCP
  2. Instalar dependencias:
    npm install
  3. Construir el proyecto:
    npm run build

Uso

Ejecución del servidor MCP

Puede ejecutar el servidor utilizando el transporte stdio (predeterminado) o el transporte HTTP:

Uso del transporte stdio (para integración con plataformas LLM):

npm start

Usando el transporte HTTP (para desarrollo y pruebas locales):

TRANSPORT=http PORT=3000 npm start

Conectarse al servidor

El servidor MCP se puede conectar a cualquier cliente MCP, incluidas las plataformas LLM que admiten el Protocolo de contexto de modelo.

Herramientas de seguridad

Autenticación

CyberMCP admite varios métodos de autenticación para probar API seguras:

  • Autenticación básica : configure la autenticación básica HTTP con nombre de usuario y contraseña
  • Autenticación de token : utilice tokens de portador, JWT o formatos de token personalizados
  • Autenticación OAuth2 : Compatibilidad total con el flujo OAuth2 con diferentes tipos de concesiones
  • Inicio de sesión de API personalizado : autentífiquese contra cualquier punto final de API de inicio de sesión

Herramientas de autenticación:

  • basic_auth : Autenticar con nombre de usuario/contraseña
  • token_auth : Configurar la autenticación basada en token
  • oauth2_auth : Realizar la autenticación OAuth2
  • api_login : Iniciar sesión usando un punto final de API personalizado
  • auth_status : Verifica el estado de autenticación actual
  • clear_auth : Borra el estado de autenticación actual

Pruebas de autenticación

  • Comprobación de vulnerabilidades de JWT : analiza tokens JWT para detectar problemas de seguridad.
  • Comprobación de omisión de autenticación : prueba los puntos finales para detectar vulnerabilidades de omisión de autenticación

Prueba de inyección

  • Comprobación de inyección SQL : prueba parámetros para detectar vulnerabilidades de inyección SQL
  • XSS Check : Pruebas para detectar vulnerabilidades de secuencias de comandos entre sitios

Prueba de fuga de datos

  • Verificación de datos confidenciales : identifica información personal identificable, credenciales e información confidencial filtradas
  • Comprobación de recorrido de ruta : prueba vulnerabilidades de recorrido de directorio

Prueba de encabezados de seguridad

  • Comprobación de encabezados de seguridad : analiza los encabezados HTTP para conocer las mejores prácticas de seguridad.

Recursos

Listas de verificación

Acceda a las listas de verificación de seguridad a través de cybersecurity://checklists/{category} , donde la categoría puede ser:

  • authentication
  • injection
  • data_leakage
  • rate_limiting
  • general

Guías

Acceda a guías de pruebas detalladas a través de guides://api-testing/{topic} , donde el tema puede ser:

  • jwt-testing
  • auth-bypass
  • sql-injection
  • xss
  • rate-limiting

Información requerida para las pruebas de API

Para probar eficazmente una API en busca de vulnerabilidades de seguridad, necesitará:

  1. Puntos finales de API : URL de los puntos finales para probar
  2. Información de autenticación : credenciales o tokens para acceder a puntos finales seguros
  3. Nombres de parámetros : nombres de los parámetros que aceptan la entrada del usuario
  4. Datos de prueba : Muestra de datos válidos para los parámetros
  5. Comportamiento esperado : cómo debería ser la respuesta normal
  6. Flujo de autenticación : cómo funciona la autenticación en la API de destino

Ejemplos de autenticación

Autenticación básica

basic_auth: username: "admin" password: "secure_password"

Autenticación de token

token_auth: token: "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." token_type: "Bearer" expires_in: 3600

Autenticación OAuth2

oauth2_auth: client_id: "client_123" client_secret: "secret_456" token_url: "https://example.com/oauth/token" grant_type: "client_credentials" scope: "read write"

Inicio de sesión de API personalizado

api_login: login_url: "https://example.com/api/login" credentials: username: "admin" password: "secure_password" token_path: "data.access_token"

Licencia

Instituto Tecnológico de Massachusetts (MIT)

This server cannot be installed

-
security - not tested
A
license - permissive license
-
quality - not tested

How are these scores calculated?

hybrid server

The server is able to function both locally and remotely, depending on the configuration or use case.

Un servidor de protocolo de contexto de modelo diseñado para probar las API de backend en busca de vulnerabilidades de seguridad como elusión de autenticación, ataques de inyección y fuga de datos.

  1. Características
    1. Estructura del proyecto
      1. Instalación
        1. Uso
          1. Ejecución del servidor MCP
          2. Conectarse al servidor
        2. Herramientas de seguridad
          1. Autenticación
          2. Pruebas de autenticación
          3. Prueba de inyección
          4. Prueba de fuga de datos
          5. Prueba de encabezados de seguridad
        3. Recursos
          1. Listas de verificación
          2. Guías
        4. Información requerida para las pruebas de API
          1. Ejemplos de autenticación
            1. Autenticación básica
            2. Autenticación de token
            3. Autenticación OAuth2
            4. Inicio de sesión de API personalizado
          2. Licencia

            Related MCP Servers

            • Salesforce
              salesforce-mcp-server

              kablewy
              A
              security
              F
              license
              A
              quality
              A Model Context Protocol server implementation for interacting with Salesforce through its REST API.
              Last updated -
              4
              34
              TypeScript

            • Nash MCP Server

              nash-app
              -
              security
              A
              license
              -
              quality
              A Model Context Protocol server that enables seamless execution of commands, Python code, web content fetching, and reusable task management with secure credentials handling.
              Last updated -
              2
              Python
              MIT License
              • Apple

            • Infisical MCP Serverofficial

              Infisical
              A
              security
              A
              license
              A
              quality
              A Model Context Protocol server that enables interaction with Infisical APIs for secret management, allowing users to create, update, delete, and list secrets through function calling.
              Last updated -
              9
              73
              20
              JavaScript
              Apache 2.0

            • Enrichment MCP Server

              MSAdministrator
              A
              security
              F
              license
              A
              quality
              A Model Context Protocol server that enables users to perform third-party enrichment lookups for security observables (IP addresses, domains, URLs, emails) through services like VirusTotal, Shodan, and others.
              Last updated -
              1
              Python
              • Apple

            View all related MCP servers

            Appeared in Searches

            New MCP Servers

            MCP directory API

            We provide all the information about MCP servers via our MCP API.

            curl -X GET 'https://glama.ai/api/mcp/v1/servers/ricauts/CyberMCP'

            If you have feedback or need assistance with the MCP directory API, please join our Discord server