Skip to main content
Glama
Sign In
enesjakozh

CyberMCP

by ricauts
GitHub
TypeScript
MIT License
1
RedditDiscord
OverviewInspectNewSchemaRelated ServersReviewsScore
Need Help?View Source CodeReport Issue

Integrations

  • Provides authentication capabilities via OAuth2 for testing secured GitHub API endpoints to identify security vulnerabilities in authentication flows, token handling, and data access controls.

  • Supports the installation and dependency management through package.json, allowing the MCP server to be installed and run for cybersecurity API testing purposes.

  • Provides TypeScript integration for implementing strongly-typed security testing tools and utilities, with configuration through tsconfig.json to support the MCP server development.

CyberMCP - Pruebas de API de ciberseguridad con MCP

CyberMCP es un servidor de Protocolo de Contexto de Modelo (MCP) diseñado para evaluar las API backend en busca de vulnerabilidades de seguridad. Proporciona un conjunto de herramientas y recursos especializados que los LLM pueden usar para identificar problemas de seguridad comunes en las API.

Características

  • Prueba de vulnerabilidad de autenticación : verifique vulnerabilidades de JWT, omisión de autenticación y mecanismos de autenticación débiles
  • Pruebas de inyección : prueba de inyección SQL, XSS y otras vulnerabilidades de inyección
  • Pruebas de fuga de datos : identifique problemas de exposición de datos confidenciales
  • Pruebas de limitación de velocidad : prueba para eludir la limitación de velocidad y vulnerabilidades DDoS
  • Prueba de encabezados de seguridad : verifique si hay encabezados de seguridad faltantes o mal configurados
  • Recursos completos : listas de verificación de acceso y guías para pruebas de seguridad de API
  • Compatibilidad con autenticación : múltiples métodos de autenticación para probar puntos finales seguros

Estructura del proyecto

CyberMCP/ ├── src/ │ ├── tools/ # MCP tools for security testing │ ├── resources/ # MCP resources (checklists, guides) │ ├── transports/ # Custom transport implementations │ ├── utils/ # Utility functions and auth management │ └── index.ts # Main entry point ├── package.json # Dependencies and scripts ├── tsconfig.json # TypeScript configuration └── README.md # This file

Instalación

  1. Clonar el repositorio:
    git clone https://github.com/your-username/CyberMCP.git cd CyberMCP
  2. Instalar dependencias:
    npm install
  3. Construir el proyecto:
    npm run build

Uso

Ejecución del servidor MCP

Puede ejecutar el servidor utilizando el transporte stdio (predeterminado) o el transporte HTTP:

Uso del transporte stdio (para integración con plataformas LLM):

npm start

Usando el transporte HTTP (para desarrollo y pruebas locales):

TRANSPORT=http PORT=3000 npm start

Conectarse al servidor

El servidor MCP se puede conectar a cualquier cliente MCP, incluidas las plataformas LLM que admiten el Protocolo de contexto de modelo.

Herramientas de seguridad

Autenticación

CyberMCP admite varios métodos de autenticación para probar API seguras:

  • Autenticación básica : configure la autenticación básica HTTP con nombre de usuario y contraseña
  • Autenticación de token : utilice tokens de portador, JWT o formatos de token personalizados
  • Autenticación OAuth2 : Compatibilidad total con el flujo OAuth2 con diferentes tipos de concesiones
  • Inicio de sesión de API personalizado : autentífiquese contra cualquier punto final de API de inicio de sesión

Herramientas de autenticación:

  • basic_auth : Autenticar con nombre de usuario/contraseña
  • token_auth : Configurar la autenticación basada en token
  • oauth2_auth : Realizar la autenticación OAuth2
  • api_login : Iniciar sesión usando un punto final de API personalizado
  • auth_status : Verifica el estado de autenticación actual
  • clear_auth : Borra el estado de autenticación actual

Pruebas de autenticación

  • Comprobación de vulnerabilidades de JWT : analiza tokens JWT para detectar problemas de seguridad.
  • Comprobación de omisión de autenticación : prueba los puntos finales para detectar vulnerabilidades de omisión de autenticación

Prueba de inyección

  • Comprobación de inyección SQL : prueba parámetros para detectar vulnerabilidades de inyección SQL
  • XSS Check : Pruebas para detectar vulnerabilidades de secuencias de comandos entre sitios

Prueba de fuga de datos

  • Verificación de datos confidenciales : identifica información personal identificable, credenciales e información confidencial filtradas
  • Comprobación de recorrido de ruta : prueba vulnerabilidades de recorrido de directorio

Prueba de encabezados de seguridad

  • Comprobación de encabezados de seguridad : analiza los encabezados HTTP para conocer las mejores prácticas de seguridad.

Recursos

Listas de verificación

Acceda a las listas de verificación de seguridad a través de cybersecurity://checklists/{category} , donde la categoría puede ser:

  • authentication
  • injection
  • data_leakage
  • rate_limiting
  • general

Guías

Acceda a guías de pruebas detalladas a través de guides://api-testing/{topic} , donde el tema puede ser:

  • jwt-testing
  • auth-bypass
  • sql-injection
  • xss
  • rate-limiting

Información requerida para las pruebas de API

Para probar eficazmente una API en busca de vulnerabilidades de seguridad, necesitará:

  1. Puntos finales de API : URL de los puntos finales para probar
  2. Información de autenticación : credenciales o tokens para acceder a puntos finales seguros
  3. Nombres de parámetros : nombres de los parámetros que aceptan la entrada del usuario
  4. Datos de prueba : Muestra de datos válidos para los parámetros
  5. Comportamiento esperado : cómo debería ser la respuesta normal
  6. Flujo de autenticación : cómo funciona la autenticación en la API de destino

Ejemplos de autenticación

Autenticación básica

basic_auth: username: "admin" password: "secure_password"

Autenticación de token

token_auth: token: "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." token_type: "Bearer" expires_in: 3600

Autenticación OAuth2

oauth2_auth: client_id: "client_123" client_secret: "secret_456" token_url: "https://example.com/oauth/token" grant_type: "client_credentials" scope: "read write"

Inicio de sesión de API personalizado

api_login: login_url: "https://example.com/api/login" credentials: username: "admin" password: "secure_password" token_path: "data.access_token"

Licencia

Instituto Tecnológico de Massachusetts (MIT)

This server cannot be installed

-
security - not tested
A
license - permissive license
-
quality - not tested

Un servidor de protocolo de contexto de modelo diseñado para probar las API de backend en busca de vulnerabilidades de seguridad como elusión de autenticación, ataques de inyección y fuga de datos.

  1. Features
    1. Project Structure
      1. Installation
        1. Usage
          1. Running the MCP Server
          2. Connecting to the Server
        2. Security Tools
          1. Authentication
          2. Authentication Testing
          3. Injection Testing
          4. Data Leakage Testing
          5. Security Headers Testing
        3. Resources
          1. Checklists
          2. Guides
        4. Required Information for API Testing
          1. Authentication Examples
            1. Basic Authentication
            2. Token Authentication
            3. OAuth2 Authentication
            4. Custom API Login
          2. License

            Appeared in Searches

            ID: lp1nvcf0w9