n8n-security-testing

n8n-security-testing 工具為您的 n8n 工作流環境提供全面的安全審計框架。此技能專為 DevOps 工程師、質量保證專家和自動化開發人員設計，能夠主動識別低代碼編排邏輯中的安全漏洞。它可直接集成到現有的開發生命週期中，使您能夠像對待傳統應用程序代碼一樣嚴格地處理工作流安全性。

• 自動化憑證掃描：利用高級模式匹配來偵測工作流 JSON 導出文件中暴露的 API 金鑰、Bearer Token、JWT、AWS 憑證和明文密鑰。

• 加密驗證：分析憑證存儲機制，驗證存儲的敏感數據是否使用安全的加密算法、金鑰推導和實例級加密金鑰進行了正確加密。

• OAuth 生命周期管理：系統地測試 OAuth Token 處理過程，包括觸發和驗證自動 Token 刷新，並識別過期或無效的連接。

• 數據清理與注入防護：檢查潛在的表達式注入漏洞，並確保對輸入數據進行適當清理，以防止 Webhook 和集成模塊中的下游風險。

• Webhook 與傳輸安全：評估 Webhook 配置以確認身份驗證已正確啟用，並確保數據處理符合安全傳輸標準。

• 目標輸入包括單個工作流 ID 或導出的工作流 JSON 結構；輸出包含詳細的掃描報告，包括嚴重程度、具體位置和可操作的修正建議。

• 適用於 CI/CD 流水線，確保工作流修改不會意外將憑證引入版本控制系統或日誌系統。

• 遵循最小權限原則，確保掃描器僅訪問必要的元數據和配置，無需訪問生產環境的敏感密鑰。

• 支持標準 n8n 憑證格式；能有效警示代碼中硬編碼的 AWS Access Keys、Slack Tokens 等模式。

• 建議用於定期安全審計，並作為自動化工作流部署的強制性質量關卡。