Authorization

A springboot-security é um guia prático de segurança para Spring Boot, cobrindo autenticação, autorização, validação, CSRF/CORS, segredos, headers, limitação de taxa e checagens de dependências. Use a skill springboot-security para trabalhos de Security Audit ou para fortalecer um serviço Java com menos risco de configurações de segurança incorretas.

A skill exploiting-jwt-algorithm-confusion-attack ajuda fluxos de trabalho de Auditoria de Segurança a testar confusão de algoritmo em JWT, incluindo downgrades de RS256 para HS256, bypasses com alg:none e truques nos headers kid/jku/x5u. Ela é apoiada por um guia prático, exemplos de referência e um script para validação repetível.

exploiting-idor-vulnerabilities ajuda em auditorias de segurança autorizadas para testar falhas de Insecure Direct Object Reference (IDOR) em APIs, aplicações web e sistemas multi-tenant, com checagens entre sessões, mapeamento de objetos e verificação de leitura/gravação.

oauth ajuda você a implementar e depurar OAuth 2.0/2.1 em apps Fastify para login, access tokens, PKCE, refresh tokens e proteção de rotas. Use como um guia de oauth para desenvolvimento de backend quando precisar de uso prático de oauth, passos de instalação e ajuda para resolver problemas de redirect URI, scope, CSRF ou validação de tokens.

A skill exploiting-broken-function-level-authorization ajuda auditores de segurança a testar APIs em busca de Broken Function Level Authorization (BFLA). Ela foca em descobrir endpoints privilegiados, verificar acesso com baixo privilégio e validar contornos por método ou caminho com orientação prática de fluxo de trabalho, baseada em evidências.

detecting-api-enumeration-attacks ajuda equipes de Security Audit a detectar sondagens em APIs, BOLA e IDOR ao analisar IDs sequenciais, picos de 404, falhas de autorização e caminhos de descoberta em documentação. Foi criado para orientar detecção baseada em logs, elaboração de regras e revisão prática de padrões de abuso de API.

O skill configuring-oauth2-authorization-flow ajuda você a projetar e validar configurações de autorização OAuth 2.0 para Access Control, com Authorization Code + PKCE, Client Credentials e Device Authorization Grant. Use este guia do configuring-oauth2-authorization-flow para escolher grants, definir redirect URIs, revisar scopes e alinhar a configuração às melhores práticas do OAuth 2.1.

building-role-mining-for-rbac-optimization é uma skill de cibersegurança para analisar dados de permissões de usuários, reduzir a explosão de papéis e criar papéis RBAC mais limpos com role mining bottom-up e top-down para Access Control. Use para comparar papéis candidatos, validar resultados de menor privilégio e transformar atribuições brutas em um plano de papéis acionável.

building-identity-governance-lifecycle-process ajuda a desenhar governança de identidade e gestão de ciclo de vida para automação de joiner-mover-leaver, revisões de acesso, provisionamento baseado em papéis e limpeza de contas órfãs. É ideal para programas de Access Control entre sistemas que precisam de orientação prática de workflow, e não de um rascunho genérico de política.

Skill security para padrões OWASP, gestão de segredos e testes de segurança. Use para revisar auth, entrada de usuário, chaves de API, variáveis de ambiente e higiene do repositório, especialmente em fluxos de Security Audit.