Authorization

springboot-security es una guía práctica de seguridad para Spring Boot que cubre autenticación, autorización, validación, CSRF/CORS, secretos, encabezados, limitación de tasa y comprobaciones de dependencias. Usa el skill springboot-security para trabajos de auditoría de seguridad o para endurecer un servicio Java con menos riesgos de configuraciones de seguridad incorrectas.

La skill de ataque de confusión de algoritmo JWT ayuda a los flujos de trabajo de auditoría de seguridad a probar la confusión de algoritmos en JWT, incluidas las degradaciones de RS256 a HS256, los bypass con `alg:none` y los trucos con los encabezados `kid`/`jku`/`x5u`. Está respaldada por una guía práctica, ejemplos de referencia y un script para validaciones repetibles.

exploiting-idor-vulnerabilities ayuda en auditorías de seguridad autorizadas a probar fallos de Insecure Direct Object Reference (IDOR) en APIs, aplicaciones web y sistemas multiusuario, con comprobaciones entre sesiones, mapeo de objetos y verificación de lectura/escritura.

oauth te ayuda a implementar y depurar OAuth 2.0/2.1 en aplicaciones Fastify para inicio de sesión, tokens de acceso, PKCE, tokens de actualización y protección de rutas. Úsalo como guía de oauth para desarrollo backend cuando necesites uso práctico de oauth, pasos de instalación y ayuda para resolver problemas de URI de redirección, scopes, CSRF o validación de tokens.

La skill de exploiting-broken-function-level-authorization ayuda a auditores de seguridad a probar APIs en busca de Broken Function Level Authorization (BFLA). Se centra en descubrir endpoints privilegiados, comprobar el acceso con bajo privilegio y validar bypasses por método o ruta con una guía de trabajo práctica y basada en evidencias.

detecting-api-enumeration-attacks ayuda a equipos de auditoría de seguridad a detectar sondeos de API, BOLA e IDOR mediante el análisis de IDs secuenciales, ráfagas de 404, fallos de autorización y rutas de descubrimiento de documentación. Está pensada para orientar la detección basada en logs, redactar reglas y revisar de forma práctica patrones de abuso de API.

La skill configuring-oauth2-authorization-flow te ayuda a diseñar y validar configuraciones de autorización OAuth 2.0 para Access Control, con Authorization Code + PKCE, Client Credentials y Device Authorization Grant. Usa esta guía de configuring-oauth2-authorization-flow para elegir grants, definir redirect URIs, revisar scopes y alinearte con las mejores prácticas de OAuth 2.1.

building-role-mining-for-rbac-optimization es una skill de ciberseguridad para analizar datos de permisos de usuario, reducir la explosión de roles y construir roles RBAC más limpios con minería de roles bottom-up y top-down para Control de Acceso. Úsala para comparar roles candidatos, validar resultados de mínimo privilegio y convertir asignaciones brutas en un plan de roles accionable.

building-identity-governance-lifecycle-process ayuda a diseñar el gobierno de identidades y la gestión del ciclo de vida para la automatización de joiners, movers y leavers, revisiones de acceso, aprovisionamiento basado en roles y limpieza de cuentas huérfanas. Encaja con programas de Access Control que operan entre sistemas y necesitan orientación práctica sobre flujos de trabajo, no un borrador genérico de políticas.

skill de security para patrones OWASP, gestión de secretos y pruebas de seguridad. Úsalo para revisar autenticación, entrada de usuario, claves de API, variables de entorno y la higiene del repositorio, especialmente en trabajos de auditoría de seguridad.