作成者 mukul975
exploiting-jwt-algorithm-confusion-attack skill は、Security Audit のワークフローで JWT のアルゴリズム混同を検証するための skill です。RS256 から HS256 へのダウングレード、alg:none の回避、kid/jku/x5u ヘッダーのトリックまで幅広くカバーします。実践的なガイド、参考例、そして再現性のある検証に使えるスクリプトが用意されています。
作成者 mukul975
exploiting-idor-vulnerabilities は、認可されたセキュリティ監査で API、Web アプリ、マルチテナント環境にまたがる Insecure Direct Object Reference(IDOR)脆弱性を検証するのに役立ちます。クロスセッション確認、オブジェクト対応付け、読み取り・書き込みの検証まで行えます。
作成者 mukul975
exploiting-excessive-data-exposure-in-api は、セキュリティ監査チームが API レスポンスを点検し、PII、機密情報、内部ID、デバッグデータなどの過剰共有フィールドを見つけるための skill です。返却データを想定スキーマや権限と照合するための、実践的なワークフロー、参考パターン、解析ロジックを備えています。
作成者 mukul975
Security Auditチーム向けの、APIを対象にSQLインジェクション、NoSQLインジェクション、コマンドインジェクション、LDAPインジェクション、SSRFをパラメータ・ヘッダー・リクエストボディ全体で検証するための exploiting-api-injection-vulnerabilities skill です。危険な入力を見極め、基準応答と比較し、バックエンド連携がインジェクト可能かどうかを確認するのに役立ちます。
