Web Security

exploiting-idor-vulnerabilities unterstützt autorisierte Sicherheitsaudits beim Testen von Insecure Direct Object Reference-Schwachstellen in APIs, Webanwendungen und Multi-Tenant-Systemen – mit Cross-Session-Prüfungen, Objektzuordnung sowie Lese-/Schreibverifikation.

Die Skill 'exploiting-insecure-deserialization' unterstützt autorisierte Penetrationstester dabei, serialisierte Eingaben zu erkennen, Java-, PHP-, Python- und .NET-Ziele zuzuordnen und die Ausnutzbarkeit sicher zu validieren. Sie enthält Anleitungen zum Workflow, Hinweise zur Erkennung und Tool-Referenzen für fokussierte Tests.

Erfahre, wie die Skill für Broken-Link-Hijacking Risiken durch abgelaufene Domains, verwaiste Dienste und beanspruchbare externe Ressourcen erkennt und validiert. Sie ist für Security-Audit-Workflows gedacht und hilft dabei, harmlose tote Links von möglichen Übernahme-Kandidaten mit einem praxistauglichen Triage-Prozess zu unterscheiden.

Der exploiting-broken-function-level-authorization skill hilft Sicherheitsprüfern, APIs auf Broken Function Level Authorization (BFLA) zu testen. Der Fokus liegt darauf, privilegierte Endpunkte zu entdecken, Zugriffe mit niedrigen Rechten zu prüfen und Method- oder Pfad-Bypässe mit praxisnahen, evidenzbasierten Workflows zu verifizieren.

Der Skill „exploiting-server-side-request-forgery“ unterstützt die Bewertung von SSRF-anfälligen Funktionen in autorisierten Web-Zielen, darunter URL-Fetcher, Webhooks, Vorschau-Tools und der Zugriff auf Cloud-Metadaten. Er bietet einen geführten Ablauf für Erkennung, Bypass-Tests, das Ausloten interner Dienste und die Validierung im Rahmen eines Security Audit.

Die Skill für das Ausnutzen von Race-Condition-Schwachstellen hilft Security-Auditoren, Web-Apps auf TOCTOU-Fehler, doppelte Transaktionen und Umgehungen von Limits mit gleichzeitigen Anfragen im Stil von Turbo Intruder zu testen. Sie enthält Installations-, Workflow- und Nutzungshinweise für autorisierte Prüfungen.