Burp

exploiting-idor-vulnerabilities unterstützt autorisierte Sicherheitsaudits beim Testen von Insecure Direct Object Reference-Schwachstellen in APIs, Webanwendungen und Multi-Tenant-Systemen – mit Cross-Session-Prüfungen, Objektzuordnung sowie Lese-/Schreibverifikation.

burpsuite-project-parser durchsucht und extrahiert Daten aus Burp Suite-Projektdateien (.burp) mit Burp Suite Professional und der Erweiterung burpsuite-project-file-parser. Nutze es für Security-Audit-Funde, Proxy-Verlauf, Site-Map-Einträge und Regex-Suchen in aufgezeichnetem HTTP-Traffic.

Die Fähigkeit exploiting-http-request-smuggling unterstützt autorisierte Tester dabei, HTTP Request Smuggling anhand von Parsing-Unterschieden bei Content-Length und Transfer-Encoding über Proxys, Load Balancer und CDNs hinweg zu erkennen und zu bewerten. Sie ist für Security-Audit-Workflows ausgelegt und bietet Roh-Request-Tests, Architektur-Fingerprinting und praxisnahe Validierungsschritte.

conducting-network-penetration-test ist eine autorisierte Skill für Netz-Penetrationstests mit Host-Discovery, Port-Scans, Service-Enumeration, Identifizierung von Schwachstellen und Berichterstellung. Sie folgt einem PTES-ähnlichen Workflow mit Nmap-zentrierter Automatisierung und referenzierter Repo-Dokumentation für eine klarere Nutzung von conducting-network-penetration-test.

Der Skill „exploiting-server-side-request-forgery“ unterstützt die Bewertung von SSRF-anfälligen Funktionen in autorisierten Web-Zielen, darunter URL-Fetcher, Webhooks, Vorschau-Tools und der Zugriff auf Cloud-Metadaten. Er bietet einen geführten Ablauf für Erkennung, Bypass-Tests, das Ausloten interner Dienste und die Validierung im Rahmen eines Security Audit.

Die Skill für das Ausnutzen von Race-Condition-Schwachstellen hilft Security-Auditoren, Web-Apps auf TOCTOU-Fehler, doppelte Transaktionen und Umgehungen von Limits mit gleichzeitigen Anfragen im Stil von Turbo Intruder zu testen. Sie enthält Installations-, Workflow- und Nutzungshinweise für autorisierte Prüfungen.

conducting-api-security-testing unterstützt autorisierte Tester dabei, REST-, GraphQL- und gRPC-APIs auf Authentifizierung, Autorisierung, Rate Limiting, Eingabevalidierung und Business-Logic-Fehler mithilfe eines OWASP API Security Top 10-Workflows zu prüfen. Nutzen Sie es für strukturiertes, evidenzbasiertes API-Security-Testing und für Security-Audit-Reviews.