作成者 mukul975
exploiting-idor-vulnerabilities は、認可されたセキュリティ監査で API、Web アプリ、マルチテナント環境にまたがる Insecure Direct Object Reference(IDOR)脆弱性を検証するのに役立ちます。クロスセッション確認、オブジェクト対応付け、読み取り・書き込みの検証まで行えます。
作成者 mukul975
この exploiting-broken-function-level-authorization スキルは、セキュリティ監査で API の Broken Function Level Authorization(BFLA)を検証するために役立ちます。特権エンドポイントの発見、低権限アクセスの確認、そしてメソッドやパスのバイパス検証に重点を置き、実践的で証拠に基づいたワークフローの指針を提供します。
作成者 mukul975
Security Auditチーム向けの、APIを対象にSQLインジェクション、NoSQLインジェクション、コマンドインジェクション、LDAPインジェクション、SSRFをパラメータ・ヘッダー・リクエストボディ全体で検証するための exploiting-api-injection-vulnerabilities skill です。危険な入力を見極め、基準応答と比較し、バックエンド連携がインジェクト可能かどうかを確認するのに役立ちます。
作成者 mukul975
detecting-api-enumeration-attacks は、連続するID、404の集中、認可失敗、ドキュメント探索パスを分析して、Security Audit チームが API のプロービング、BOLA、IDOR を検知するのを支援します。ログ駆動の検知指針、ルール作成、API 悪用パターンの実務レビューに向けて設計されています。
