von mukul975
Die Skill »exploiting-jwt-algorithm-confusion-attack« unterstützt Security-Audit-Workflows beim Testen von JWT-Algorithm-Confusion – einschließlich RS256-zu-HS256-Downgrades, `alg:none`-Bypasses und Header-Tricks mit `kid`/`jku`/`x5u`. Sie basiert auf einer praxisnahen Anleitung, Referenzbeispielen und einem Skript für wiederholbare Validierungen.
von mukul975
exploiting-idor-vulnerabilities unterstützt autorisierte Sicherheitsaudits beim Testen von Insecure Direct Object Reference-Schwachstellen in APIs, Webanwendungen und Multi-Tenant-Systemen – mit Cross-Session-Prüfungen, Objektzuordnung sowie Lese-/Schreibverifikation.
von mukul975
exploiting-excessive-data-exposure-in-api unterstützt Security-Audit-Teams dabei, API-Antworten auf zu viele freigegebene Felder zu prüfen – darunter PII, Secrets, interne IDs und Debug-Daten. Es bietet einen fokussierten Workflow, Referenzmuster und Analyzer-Logik, um zurückgegebene Daten mit dem erwarteten Schema und den Rollen zu vergleichen.
von mukul975
Der Skill „exploiting-api-injection-vulnerabilities“ für Security-Audit-Teams zum Testen von APIs auf SQL-Injection, NoSQL-Injection, Command Injection, LDAP-Injection und SSRF über Parameter, Header und Request Bodies. Dieser Leitfaden hilft dabei, riskante Eingaben zu erkennen, Baseline-Antworten zu vergleichen und zu prüfen, ob Backend-Interaktionen injizierbar sind.
