Authorization

springboot-security est un guide pratique de sécurité Spring Boot pour l’authentification, l’autorisation, la validation, CSRF/CORS, les secrets, les en-têtes, la limitation de débit et les contrôles de dépendances. Utilisez le skill springboot-security pour des travaux d’audit de sécurité ou pour durcir un service Java avec moins de risques de mauvaise configuration de sécurité.

La skill exploiting-jwt-algorithm-confusion-attack aide les workflows d’audit de sécurité à tester la confusion d’algorithme JWT, notamment les rétrogradations RS256 vers HS256, les contournements `alg:none` et les astuces d’en-têtes `kid`/`jku`/`x5u`. Elle s’appuie sur un guide pratique, des exemples de référence et un script pour valider les tests de façon reproductible.

exploiting-idor-vulnerabilities aide les audits de sécurité autorisés à tester les failles Insecure Direct Object Reference sur les API, les applications web et les systèmes multi-tenant, avec des vérifications intersessions, le mappage des objets et la validation lecture/écriture.

oauth vous aide à implémenter et dépanner OAuth 2.0/2.1 dans des apps Fastify pour la connexion, les jetons d’accès, PKCE, les jetons de rafraîchissement et la protection des routes. Utilisez-le comme guide oauth pour le développement backend quand vous avez besoin d’un usage concret d’oauth, d’étapes d’installation et d’aide pour résoudre des problèmes de redirect URI, de scope, de CSRF ou de validation des jetons.

La skill d’exploitation du Broken Function Level Authorization aide les auditeurs sécurité à tester les API à la recherche de failles Broken Function Level Authorization (BFLA). Elle se concentre sur la découverte des endpoints à privilèges, la vérification des accès avec de faibles privilèges et la validation des contournements par méthode ou par chemin, avec des conseils de travail pratiques fondés sur des éléments observables.

detecting-api-enumeration-attacks aide les équipes de Security Audit à détecter le probing d’API, les attaques BOLA et les IDOR en analysant les IDs séquentiels, les rafales de 404, les échecs d’autorisation et les chemins de découverte de la documentation. Conçu pour guider une détection pilotée par les logs, rédiger des règles et passer en revue concrètement les schémas d’abus d’API.

Le skill configuring-oauth2-authorization-flow vous aide à concevoir et valider des configurations OAuth 2.0 pour le contrôle d’accès, avec Authorization Code + PKCE, Client Credentials et Device Authorization Grant. Utilisez ce guide configuring-oauth2-authorization-flow pour choisir les grants, définir les redirect URIs, examiner les scopes et vous aligner sur les bonnes pratiques OAuth 2.1.

building-role-mining-for-rbac-optimization est une compétence de cybersécurité dédiée à l’analyse des données utilisateurs-autorisations, à la réduction de l’explosion des rôles et à la création de rôles RBAC plus propres grâce au role mining bottom-up et top-down pour le contrôle d’accès. Utilisez-la pour comparer des rôles candidats, valider des résultats de moindre privilège et transformer des attributions brutes en plan de rôles exploitable.

building-identity-governance-lifecycle-process aide à concevoir la gouvernance des identités et la gestion du cycle de vie pour l’automatisation du processus joiner-mover-leaver, les revues d’accès, le provisioning basé sur les rôles et le nettoyage des comptes orphelins. Il convient aux programmes de Contrôle d’accès multi-systèmes qui ont besoin de conseils pratiques sur les workflows, et non d’un simple brouillon de politique générique.

skill security pour les patterns OWASP, la gestion des secrets et les tests de sécurité. Utilisez-le pour passer en revue l'authentification, les entrées utilisateur, les clés API, les variables d'environnement et l'hygiène du dépôt, en particulier pour les travaux de Security Audit.