Authorization

springboot-security là một hướng dẫn bảo mật Spring Boot thực tiễn cho xác thực, phân quyền, validation, CSRF/CORS, secrets, headers, rate limiting và kiểm tra dependency. Dùng skill springboot-security cho công việc Security Audit hoặc để harden một dịch vụ Java với rủi ro cấu hình sai bảo mật thấp hơn.

Skill khai thác tấn công nhầm lẫn thuật toán JWT giúp quy trình Security Audit kiểm thử nhầm lẫn thuật toán JWT, bao gồm hạ cấp RS256 sang HS256, vượt qua `alg:none`, và các mánh header như `kid`/`jku`/`x5u`. Skill này đi kèm một hướng dẫn thực hành, ví dụ tham chiếu và một script để xác thực lặp lại một cách nhất quán.

exploiting-idor-vulnerabilities hỗ trợ các cuộc kiểm tra an ninh được cấp phép nhằm phát hiện lỗ hổng Insecure Direct Object Reference trên API, ứng dụng web và hệ thống đa thuê bao, với các kiểm tra xuyên phiên, ánh xạ đối tượng và xác minh đọc/ghi.

oauth giúp bạn triển khai và gỡ lỗi OAuth 2.0/2.1 trong ứng dụng Fastify cho đăng nhập, access token, PKCE, refresh token và bảo vệ route. Hãy dùng nó như một hướng dẫn oauth cho phát triển backend khi bạn cần cách dùng oauth thực tế, các bước cài đặt và trợ giúp xử lý lỗi redirect URI, scope, CSRF hoặc xác thực token.

Kỹ năng khai thác broken function level authorization giúp các kiểm toán viên bảo mật kiểm thử API để phát hiện Broken Function Level Authorization (BFLA). Kỹ năng này tập trung vào việc tìm các endpoint có đặc quyền, kiểm tra khả năng truy cập của tài khoản quyền thấp, và xác thực các cách vượt qua bằng method hoặc path với quy trình hướng dẫn thực tế, dựa trên bằng chứng.

detecting-api-enumeration-attacks giúp các nhóm Kiểm toán An ninh phát hiện dò quét API, BOLA và IDOR bằng cách phân tích ID tuần tự, các đợt 404 dồn dập, lỗi xác thực và các đường dẫn khám phá tài liệu. Kỹ năng này được xây dựng cho hướng dẫn phát hiện dựa trên log, soạn thảo rule và rà soát thực tế các mẫu lạm dụng API.

Skill configuring-oauth2-authorization-flow giúp bạn thiết kế và kiểm tra các thiết lập phân quyền OAuth 2.0 cho Access Control, bao gồm Authorization Code + PKCE, Client Credentials và Device Authorization Grant. Hãy dùng hướng dẫn configuring-oauth2-authorization-flow này để chọn grant phù hợp, thiết lập redirect URI, rà soát scope và bám theo các best practice của OAuth 2.1.

building-role-mining-for-rbac-optimization là một kỹ năng an ninh mạng dùng để phân tích dữ liệu quyền người dùng, giảm bùng nổ vai trò và xây dựng các vai trò RBAC gọn hơn bằng role mining từ dưới lên và từ trên xuống cho Access Control. Hãy dùng nó để so sánh các vai trò ứng viên, xác thực kết quả least privilege và biến các gán quyền thô thành một kế hoạch vai trò có thể hành động.

building-identity-governance-lifecycle-process giúp thiết kế quản trị danh tính và quản lý vòng đời cho tự động hóa joiner-mover-leaver, rà soát quyền truy cập, cấp quyền theo vai trò và dọn dẹp tài khoản mồ côi. Đây là lựa chọn phù hợp cho các chương trình Kiểm soát Truy cập liên hệ nhiều hệ thống, cần hướng dẫn quy trình thực tế chứ không phải một bản chính sách chung chung.

Skill security dành cho các mẫu OWASP, quản lý secrets và kiểm thử bảo mật. Dùng để rà soát auth, input người dùng, API keys, biến môi trường và vệ sinh repo, đặc biệt phù hợp cho công việc Security Audit.