Integrations

Provides authentication capabilities via OAuth2 for testing secured GitHub API endpoints to identify security vulnerabilities in authentication flows, token handling, and data access controls.
Supports the installation and dependency management through package.json, allowing the MCP server to be installed and run for cybersecurity API testing purposes.
Provides TypeScript integration for implementing strongly-typed security testing tools and utilities, with configuration through tsconfig.json to support the MCP server development.

CyberMCP - MCP를 사용한 사이버 보안 API 테스트

CyberMCP는 백엔드 API의 보안 취약점을 테스트하도록 설계된 모델 컨텍스트 프로토콜(MCP) 서버입니다. LLM이 API의 일반적인 보안 문제를 파악하는 데 사용할 수 있는 전문 도구와 리소스를 제공합니다.

특징

인증 취약성 테스트 : JWT 취약성, 인증 우회 및 취약한 인증 메커니즘 확인
주입 테스트 : SQL 주입, XSS 및 기타 주입 취약점 테스트
데이터 유출 테스트 : 민감한 데이터 노출 문제 식별
속도 제한 테스트 : 속도 제한 우회 및 DDoS 취약성 테스트
보안 헤더 테스트 : 누락되었거나 잘못 구성된 보안 헤더 확인
포괄적인 리소스 : API 보안 테스트를 위한 체크리스트 및 가이드에 액세스하세요
인증 지원 : 보안 엔드포인트를 테스트하기 위한 다양한 인증 방법

프로젝트 구조

지엑스피1

설치

저장소를 복제합니다.
git clone https://github.com/your-username/CyberMCP.git cd CyberMCP
종속성 설치:
npm install
프로젝트를 빌드하세요:
npm run build

용법

MCP 서버 실행

stdio 전송(기본값) 또는 HTTP 전송을 사용하여 서버를 실행할 수 있습니다.

stdio 전송 사용(LLM 플랫폼과 통합용):

npm start

HTTP 전송 사용(로컬 개발 및 테스트용):

TRANSPORT=http PORT=3000 npm start

서버에 연결

MCP 서버는 모델 컨텍스트 프로토콜을 지원하는 LLM 플랫폼을 포함한 모든 MCP 클라이언트에 연결할 수 있습니다.

보안 도구

입증

CyberMCP는 보안 API를 테스트하기 위해 여러 가지 인증 방법을 지원합니다.

기본 인증 : 사용자 이름과 비밀번호를 사용하여 HTTP 기본 인증을 설정합니다.
토큰 인증 : 베어러 토큰, JWT 또는 사용자 정의 토큰 형식을 사용하세요.
OAuth2 인증 : 다양한 허가 유형을 통한 전체 OAuth2 흐름 지원
사용자 정의 API 로그인 : 모든 로그인 API 엔드포인트에 대해 인증

인증 도구:

basic_auth : 사용자 이름/비밀번호로 인증
token_auth : 토큰 기반 인증 설정
oauth2_auth : OAuth2 인증 수행
api_login : 사용자 정의 API 엔드포인트를 사용하여 로그인
auth_status : 현재 인증 상태 확인
clear_auth : 현재 인증 상태를 지웁니다.

인증 테스트

JWT 취약점 점검 : JWT 토큰의 보안 문제를 분석합니다.
인증 우회 검사 : 인증 우회 취약점에 대한 엔드포인트 테스트

주입 테스트

SQL 주입 검사 : SQL 주입 취약점에 대한 매개변수를 테스트합니다.
XSS 검사 : 크로스 사이트 스크립팅 취약점 테스트

데이터 유출 테스트

민감한 데이터 확인 : 유출된 PII, 자격 증명 및 민감한 정보를 식별합니다.
경로 탐색 검사 : 디렉터리 탐색 취약점 테스트

보안 헤더 테스트

보안 헤더 확인 : 보안 모범 사례를 위해 HTTP 헤더를 분석합니다.

자원

체크리스트

cybersecurity://checklists/{category} 통해 보안 체크리스트에 액세스하세요. 여기서 category는 다음과 같습니다.

authentication
injection
data_leakage
rate_limiting
general

가이드

guides://api-testing/{topic} 통해 자세한 테스트 가이드에 액세스하세요. 여기서 topic은 다음과 같습니다.

jwt-testing
auth-bypass
sql-injection
xss
rate-limiting

API 테스트에 필요한 정보

API의 보안 취약점을 효과적으로 테스트하려면 다음이 필요합니다.

API 엔드포인트 : 테스트할 엔드포인트의 URL
인증 정보 : 보안 엔드포인트에 액세스하기 위한 자격 증명 또는 토큰
매개변수 이름 : 사용자 입력을 허용하는 매개변수의 이름
테스트 데이터 : 매개변수에 대한 샘플 유효 데이터
예상되는 동작 : 일반적인 응답이 어떻게 보여야 하는지
인증 흐름 : 대상 API에서 인증이 작동하는 방식

인증 예

기본 인증

basic_auth:
  username: "admin"
  password: "secure_password"

토큰 인증

token_auth:
  token: "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."
  token_type: "Bearer"
  expires_in: 3600

OAuth2 인증

oauth2_auth:
  client_id: "client_123"
  client_secret: "secret_456"
  token_url: "https://example.com/oauth/token"
  grant_type: "client_credentials"
  scope: "read write"

사용자 정의 API 로그인

api_login:
  login_url: "https://example.com/api/login"
  credentials: 
    username: "admin"
    password: "secure_password"
  token_path: "data.access_token"

특허

MIT

This server cannot be installed

-

security - not tested

A

license - permissive license

-

quality - not tested

인증 우회, 주입 공격, 데이터 유출 등의 보안 취약성에 대한 백엔드 API를 테스트하도록 설계된 모델 컨텍스트 프로토콜 서버입니다.