Skip to main content
Glama

CyberMCP

by ricauts

CyberMCP - MCP によるサイバーセキュリティ API テスト

CyberMCPは、バックエンドAPIのセキュリティ脆弱性をテストするために設計されたモデルコンテキストプロトコル(MCP)サーバーです。LLMがAPIの一般的なセキュリティ問題を特定するために使用できる、専用のツールとリソースのセットを提供します。

特徴

  • 認証脆弱性テスト: JWTの脆弱性、認証バイパス、弱い認証メカニズムをチェックします
  • インジェクションテスト: SQLインジェクション、XSS、その他のインジェクション脆弱性をテストします
  • データ漏洩テスト:機密データの漏洩問題を特定する
  • レート制限テスト: レート制限バイパスと DDoS 脆弱性をテストします
  • セキュリティ ヘッダーのテスト: セキュリティ ヘッダーの不足や設定ミスがないか確認します
  • 包括的なリソース: API セキュリティ テストのチェックリストとガイドにアクセスします
  • 認証サポート: セキュアなエンドポイントをテストするための複数の認証方法

プロジェクト構造

CyberMCP/ ├── src/ │ ├── tools/ # MCP tools for security testing │ ├── resources/ # MCP resources (checklists, guides) │ ├── transports/ # Custom transport implementations │ ├── utils/ # Utility functions and auth management │ └── index.ts # Main entry point ├── package.json # Dependencies and scripts ├── tsconfig.json # TypeScript configuration └── README.md # This file

インストール

  1. リポジトリをクローンします。
    git clone https://github.com/your-username/CyberMCP.git cd CyberMCP
  2. 依存関係をインストールします:
    npm install
  3. プロジェクトをビルドします。
    npm run build

使用法

MCPサーバーの実行

stdio トランスポート (デフォルト) または HTTP トランスポートのいずれかを使用してサーバーを実行できます。

stdio トランスポートの使用 (LLM プラットフォームとの統合用):

npm start

HTTP トランスポートを使用する (ローカル開発およびテスト用):

TRANSPORT=http PORT=3000 npm start

サーバーへの接続

MCP サーバーは、モデル コンテキスト プロトコルをサポートする LLM プラットフォームを含む任意の MCP クライアントに接続できます。

セキュリティツール

認証

CyberMCP は、セキュリティ保護された API をテストするためのいくつかの認証方法をサポートしています。

  • 基本認証: ユーザー名とパスワードでHTTP基本認証を設定する
  • トークン認証: ベアラートークン、JWT、またはカスタムトークン形式を使用する
  • OAuth2認証: さまざまな許可タイプによる完全なOAuth2フローのサポート
  • カスタムAPIログイン: 任意のログインAPIエンドポイントに対して認証します

認証ツール:

  • basic_auth : ユーザー名/パスワードで認証する
  • token_auth : トークンベースの認証を設定する
  • oauth2_auth : OAuth2認証を実行する
  • api_login : カスタムAPIエンドポイントを使用してログイン
  • auth_status : 現在の認証ステータスを確認する
  • clear_auth : 現在の認証状態をクリアする

認証テスト

  • JWT脆弱性チェック: JWTトークンのセキュリティ問題を分析します
  • 認証バイパスチェック: エンドポイントの認証バイパス脆弱性をテストします

注入テスト

  • SQLインジェクションチェック: SQLインジェクションの脆弱性のパラメータをテストします
  • XSSチェック:クロスサイトスクリプティングの脆弱性をテストします

データ漏洩テスト

  • 機密データチェック: 漏洩した個人情報、資格情報、機密情報を識別します
  • パストラバーサルチェック: ディレクトリトラバーサルの脆弱性をテストします

セキュリティヘッダーテスト

  • セキュリティ ヘッダー チェック: セキュリティのベスト プラクティスに基づいて HTTP ヘッダーを分析します

リソース

チェックリスト

cybersecurity://checklists/{category}からセキュリティ チェックリストにアクセスします。カテゴリは次のようになります。

  • authentication
  • injection
  • data_leakage
  • rate_limiting
  • general

ガイド

詳細なテスト ガイドにguides://api-testing/{topic}からアクセスします。topic は次のようになります。

  • jwt-testing
  • auth-bypass
  • sql-injection
  • xss
  • rate-limiting

APIテストに必要な情報

API のセキュリティ脆弱性を効果的にテストするには、次のものが必要です。

  1. APIエンドポイント: テストするエンドポイントのURL
  2. 認証情報: 保護されたエンドポイントにアクセスするための資格情報またはトークン
  3. パラメータ名: ユーザー入力を受け入れるパラメータの名前
  4. テストデータ: パラメータの有効なサンプルデータ
  5. 期待される動作: 通常の応答はどのようになるか
  6. 認証フロー: 対象APIでの認証の仕組み

認証の例

基本認証

basic_auth: username: "admin" password: "secure_password"

トークン認証

token_auth: token: "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." token_type: "Bearer" expires_in: 3600

OAuth2認証

oauth2_auth: client_id: "client_123" client_secret: "secret_456" token_url: "https://example.com/oauth/token" grant_type: "client_credentials" scope: "read write"

カスタムAPIログイン

api_login: login_url: "https://example.com/api/login" credentials: username: "admin" password: "secure_password" token_path: "data.access_token"

ライセンス

マサチューセッツ工科大学

Install Server
A
security – no known vulnerabilities
A
license - permissive license
A
quality - confirmed to work

hybrid server

The server is able to function both locally and remotely, depending on the configuration or use case.

認証バイパス、インジェクション攻撃、データ漏洩などのセキュリティ脆弱性についてバックエンド API をテストするために設計されたモデル コンテキスト プロトコル サーバー。

  1. 特徴
    1. プロジェクト構造
      1. インストール
        1. 使用法
          1. MCPサーバーの実行
          2. サーバーへの接続
        2. セキュリティツール
          1. 認証
          2. 認証テスト
          3. 注入テスト
          4. データ漏洩テスト
          5. セキュリティヘッダーテスト
        3. リソース
          1. チェックリスト
          2. ガイド
        4. APIテストに必要な情報
          1. 認証の例
            1. 基本認証
            2. トークン認証
            3. OAuth2認証
            4. カスタムAPIログイン
          2. ライセンス

            Related MCP Servers

            • A
              security
              F
              license
              A
              quality
              A Model Context Protocol server that enables users to perform third-party enrichment lookups for security observables (IP addresses, domains, URLs, emails) through services like VirusTotal, Shodan, and others.
              Last updated -
              1
              1
              Python
              • Apple
            • -
              security
              A
              license
              -
              quality
              A Model Context Protocol server that provides programmatic APIs for running mutation tests with mutmut, analyzing results, and improving test coverage in Python projects.
              Last updated -
              Python
              MIT License
            • A
              security
              A
              license
              A
              quality
              A Model Context Protocol server providing security vulnerability intelligence tools including CVE lookup, EPSS scoring, CVSS calculation, exploit detection, and Python package vulnerability checking.
              Last updated -
              8
              4
              Python
              MIT License
            • -
              security
              A
              license
              -
              quality
              A Model Context Protocol server that generates and runs mock API servers from API documentation like OpenAPI/Swagger specs, enabling developers and AI assistants to quickly spin up mock backends for development and testing.
              Last updated -
              9
              Python
              MIT License
              • Apple

            View all related MCP servers

            MCP directory API

            We provide all the information about MCP servers via our MCP API.

            curl -X GET 'https://glama.ai/api/mcp/v1/servers/ricauts/CyberMCP'

            If you have feedback or need assistance with the MCP directory API, please join our Discord server