Owasp Api Top 10

exploiting-idor-vulnerabilities는 승인된 보안 점검에서 API, 웹 앱, 멀티테넌트 시스템 전반의 Insecure Direct Object Reference 취약점을 교차 세션 확인, 객체 매핑, 읽기/쓰기 검증으로 테스트하는 데 도움을 줍니다.

exploiting-broken-function-level-authorization skill은 보안 감사자가 API의 Broken Function Level Authorization(BFLA)을 테스트할 수 있도록 돕습니다. 권한이 필요한 엔드포인트를 찾아내고, 낮은 권한 계정의 접근 가능 범위를 확인하며, 메서드나 경로 우회 가능성을 실무형·증거 기반 워크플로우로 검증하는 데 초점을 맞춥니다.

Security Audit 팀이 API에서 SQL 인젝션, NoSQL 인젝션, 명령어 인젝션, LDAP 인젝션, SSRF를 점검할 때 쓰는 exploiting-api-injection-vulnerabilities 스킬입니다. 이 가이드는 파라미터, 헤더, 요청 본문에서 위험한 입력을 찾아내고, 기준 응답과 비교하며, 백엔드 상호작용이 실제로 인젝션 가능한지 검증하는 데 도움을 줍니다.

detecting-api-enumeration-attacks는 Security Audit 팀이 순차적 ID, 404 급증, 권한 실패, 문서 탐색 경로를 분석해 API 프로빙, BOLA, IDOR를 탐지하도록 돕습니다. 로그 기반 탐지 가이드, 룰 초안 작성, API 남용 패턴의 실무 검토에 맞춰 설계되었습니다.