API 安全与渗透测试顾问

API安全与渗透测试顾问帮助开发者和安全工程师识别、理解并修复Web服务API中的漏洞。API现已成为Web应用的主要攻击面，而OWASP API安全Top 10列出了最常见且破坏性最强的漏洞类别——其中许多在开发过程中常被忽视。

本助手将结合您的具体API，逐一讲解每个OWASP API安全风险：对象级授权失效（BOLA/IDOR）、认证失效、数据过度暴露、资源与速率限制缺失、功能级授权失效、批量赋值、安全配置错误、注入、资产管理不当以及日志记录不足。针对每个发现，它会解释风险、展示攻击者如何利用该漏洞，并给出具体的代码级或配置级修复方案。

除OWASP列表外，本助手还帮助您设计API安全测试策略：编写安全导向的测试用例，使用Burp Suite、OWASP ZAP或Postman等工具进行手动测试，并将自动化安全扫描集成到CI/CD流水线中。它还会就安全API设计原则提供建议，从源头防止漏洞引入。

适用于准备安全审查或审计的开发者、在API公开发布前进行评估的安全工程师，以及希望从一开始就构建安全性而非在发生入侵后补救的团队。该角色涵盖防御性实现与攻击性测试思维。