Burp

exploiting-idor-vulnerabilities aide les audits de sécurité autorisés à tester les failles Insecure Direct Object Reference sur les API, les applications web et les systèmes multi-tenant, avec des vérifications intersessions, le mappage des objets et la validation lecture/écriture.

burpsuite-project-parser recherche et extrait des données depuis des fichiers projet Burp Suite (.burp) à l’aide de Burp Suite Professional et de l’extension burpsuite-project-file-parser. Utilisez-le pour exploiter des résultats d’audit de sécurité, l’historique du proxy, les entrées du site map et effectuer des recherches par expressions régulières sur le trafic HTTP capturé.

La compétence exploiting-http-request-smuggling aide les testeurs autorisés à détecter et évaluer le HTTP request smuggling lorsque des divergences d’analyse entre `Content-Length` et `Transfer-Encoding` existent entre proxys, répartiteurs de charge et CDN. Elle est pensée pour les workflows de Security Audit, avec des sondages par requêtes brutes, le repérage de l’architecture et des étapes de validation concrètes.

conducting-network-penetration-test est une compétence de test d’intrusion réseau autorisée pour la découverte d’hôtes, le scan de ports, l’énumération de services, l’identification de vulnérabilités et la génération de rapports. Elle suit un workflow de type PTES, avec une automatisation centrée sur Nmap et des références issues du dépôt pour clarifier son utilisation.

La compétence exploiting-server-side-request-forgery aide à évaluer, sur des cibles web autorisées, les fonctionnalités exposées aux SSRF, notamment les récupérateurs d’URL, les webhooks, les outils de prévisualisation et l’accès aux métadonnées cloud. Elle propose un parcours guidé pour la détection, les tests de contournement, l’exploration de services internes et la validation par audit de sécurité.

Le skill exploiting-race-condition-vulnerabilities aide les auditeurs en sécurité à tester des applications web pour détecter des failles TOCTOU, des doubles transactions et des contournements de limites à l’aide de requêtes concurrentes de type Turbo Intruder. Il fournit des consignes d’installation, de workflow et d’utilisation pour des évaluations autorisées.

conducting-api-security-testing aide les testeurs autorisés à évaluer des API REST, GraphQL et gRPC sur les aspects d’authentification, d’autorisation, de limitation de débit, de validation des entrées et de failles de logique métier, à l’aide d’un workflow aligné sur l’OWASP API Security Top 10. Utilisez-le pour des tests de sécurité API structurés, fondés sur des preuves, et pour des revues d’audit sécurité.