Authorization

springboot-security ist ein praxisnaher Sicherheitsleitfaden für Spring Boot zu Authentifizierung, Autorisierung, Validierung, CSRF/CORS, Secrets, Headern, Rate Limiting und Dependency-Checks. Verwenden Sie den springboot-security Skill für Security-Audit-Arbeiten oder um einen Java-Dienst mit weniger Risiken durch Sicherheitsfehlkonfigurationen abzusichern.

Die Skill »exploiting-jwt-algorithm-confusion-attack« unterstützt Security-Audit-Workflows beim Testen von JWT-Algorithm-Confusion – einschließlich RS256-zu-HS256-Downgrades, `alg:none`-Bypasses und Header-Tricks mit `kid`/`jku`/`x5u`. Sie basiert auf einer praxisnahen Anleitung, Referenzbeispielen und einem Skript für wiederholbare Validierungen.

exploiting-idor-vulnerabilities unterstützt autorisierte Sicherheitsaudits beim Testen von Insecure Direct Object Reference-Schwachstellen in APIs, Webanwendungen und Multi-Tenant-Systemen – mit Cross-Session-Prüfungen, Objektzuordnung sowie Lese-/Schreibverifikation.

oauth hilft dir dabei, OAuth 2.0/2.1 in Fastify-Apps umzusetzen und Fehler zu beheben – für Login, Access Tokens, PKCE, Refresh Tokens und den Schutz von Routen. Nutze es als oauth-Leitfaden für die Backend-Entwicklung, wenn du praxistaugliche Hinweise zur oauth-Nutzung, Installationsschritte und Hilfe bei Redirect-URI-, Scope-, CSRF- oder Token-Validierungsproblemen brauchst.

Der exploiting-broken-function-level-authorization skill hilft Sicherheitsprüfern, APIs auf Broken Function Level Authorization (BFLA) zu testen. Der Fokus liegt darauf, privilegierte Endpunkte zu entdecken, Zugriffe mit niedrigen Rechten zu prüfen und Method- oder Pfad-Bypässe mit praxisnahen, evidenzbasierten Workflows zu verifizieren.

detecting-api-enumeration-attacks unterstützt Security-Audit-Teams dabei, API-Probing, BOLA und IDOR zu erkennen, indem sequenzielle IDs, 404-Serien, Autorisierungsfehler und Pfade zur Dokumenten-Entdeckung analysiert werden. Die Skill ist auf loggestützte Erkennungsleitlinien, das Entwerfen von Regeln und die praktische Bewertung von API-Missbrauchsmustern ausgelegt.

Die Fähigkeit configuring-oauth2-authorization-flow hilft Ihnen dabei, OAuth-2.0-Autorisierungskonfigurationen für Access Control zu entwerfen und zu validieren, einschließlich Authorization Code + PKCE, Client Credentials und Device Authorization Grant. Nutzen Sie diesen Leitfaden zu configuring-oauth2-authorization-flow, um Grants auszuwählen, Redirect-URIs festzulegen, Scopes zu prüfen und sich an den Best Practices von OAuth 2.1 auszurichten.

building-role-mining-for-rbac-optimization ist eine Cybersecurity-Skill für die Analyse von Benutzer- und Berechtigungsdaten, die Reduzierung von Role Explosion und den Aufbau sauberer RBAC-Rollen mit Bottom-up- und Top-down-Role-Mining für Access Control. Sie hilft dabei, Kandidatenrollen zu vergleichen, Ergebnisse nach Least Privilege zu validieren und Rohzuweisungen in einen umsetzbaren Rollenplan zu überführen.

building-identity-governance-lifecycle-process hilft bei der Konzeption von Identity Governance und Lifecycle Management für die Automatisierung von Joiner-Mover-Leaver-Prozessen, Access Reviews, rollenbasierter Provisionierung und der Bereinigung verwaister Konten. Es passt zu plattformübergreifenden Access-Control-Programmen, die praxisnahe Workflow-Hinweise brauchen statt eines generischen Policy-Entwurfs.

Security-Skill für OWASP-Muster, Geheimnisverwaltung und Sicherheitstests. Verwenden Sie ihn, um Authentifizierung, Nutzereingaben, API-Keys, Umgebungsvariablen und Repo-Hygiene zu prüfen – besonders für Security-Audit-Aufgaben.