Burp

exploiting-idor-vulnerabilities は、認可されたセキュリティ監査で API、Web アプリ、マルチテナント環境にまたがる Insecure Direct Object Reference（IDOR）脆弱性を検証するのに役立ちます。クロスセッション確認、オブジェクト対応付け、読み取り・書き込みの検証まで行えます。

burpsuite-project-parser は、Burp Suite Professional と burpsuite-project-file-parser 拡張機能を使って、Burp Suite のプロジェクトファイル（.burp）からデータを検索・抽出する skill です。セキュリティ監査の指摘、プロキシ履歴、サイトマップ項目、キャプチャ済み HTTP トラフィック全体に対する regex 検索に使えます。

exploiting-http-request-smuggling は、許可を得たテスターが、プロキシ、ロードバランサー、CDN 間で発生する Content-Length と Transfer-Encoding の解釈差を手がかりに、HTTP リクエストスマグリングを検出・評価するためのスキルです。Security Audit のワークフロー向けに設計されており、raw リクエストのプロービング、アーキテクチャの識別、実用的な検証手順を備えています。

conducting-network-penetration-test は、ホスト発見、ポートスキャン、サービス列挙、脆弱性特定、レポート作成までを扱う、許可された network penetration testing 向けのスキルです。PTES 風のワークフローに沿い、Nmap 中心の自動化とリポジトリ参照で conducting-network-penetration-test の使い方を分かりやすく整理できます。

この exploiting-server-side-request-forgery スキルは、URL取得機能、Webhook、プレビュー機能、クラウドメタデータアクセスなど、SSRFの影響を受けやすい機能を、許可されたWeb対象で評価するのに役立ちます。検出、バイパス試験、内部サービスのプロービング、Security Audit の検証までを案内するワークフローを備えています。

exploiting-race-condition-vulnerabilities スキルは、Turbo Intruder 風の並列リクエストを使って、Webアプリの TOCTOU 脆弱性、重複トランザクション、制限回避を検証するセキュリティ監査担当者向けの支援ツールです。許可された評価に向けたインストール、ワークフロー、利用方法のガイダンスが含まれています。

conducting-api-security-testing は、認可されたテスターが OWASP API Security Top 10 のワークフローに沿って、REST、GraphQL、gRPC の API を対象に、認証、認可、レート制限、入力検証、ビジネスロジックの不備を評価するのに役立ちます。構造化された証拠ベースの API セキュリティテストやセキュリティ監査レビューに適しています。