n8n-security-testing

n8n-security-testing 工具为您的 n8n 工作流环境提供全面的安全审计框架。此技能专为 DevOps 工程师、质量保证专家和自动化开发人员设计，能够主动识别低代码编排逻辑中的安全漏洞。它可直接集成到现有的开发生命周期中，使您能够像对待传统应用程序代码一样严格地处理工作流安全性。

• 自动化凭证扫描：利用高级模式匹配来检测工作流 JSON 导出文件中暴露的 API 密钥、Bearer Token、JWT、AWS 凭证和明文密钥。

• 加密验证：分析凭证存储机制，验证存储的敏感数据是否使用安全的加密算法、密钥推导和实例级加密密钥进行了正确加密。

• OAuth 生命周期管理：系统地测试 OAuth Token 处理过程，包括触发和验证自动 Token 刷新，并识别过期或无效的连接。

• 数据清理与注入防护：检查潜在的表达式注入漏洞，并确保对输入数据进行适当清理，以防止 Webhook 和集成模块中的下游风险。

• Webhook 与传输安全：评估 Webhook 配置以确认身份验证已正确启用，并确保数据处理符合安全传输标准。

• 目标输入包括单个工作流 ID 或导出的工作流 JSON 结构；输出包含详细的扫描报告，包括严重程度、具体位置和可操作的修正建议。

• 适用于 CI/CD 流水线，确保工作流修改不会意外将凭证引入版本控制系统或日志系统。

• 遵循最小权限原则，确保扫描器仅访问必要的元数据和配置，无需访问生产环境的敏感密钥。

• 支持标准 n8n 凭证格式；能有效警示代码中硬编码的 AWS Access Keys、Slack Tokens 等模式。

• 建议用于定期安全审计，并作为自动化工作流部署的强制性质量关卡。