Burp

exploiting-idor-vulnerabilities hỗ trợ các cuộc kiểm tra an ninh được cấp phép nhằm phát hiện lỗ hổng Insecure Direct Object Reference trên API, ứng dụng web và hệ thống đa thuê bao, với các kiểm tra xuyên phiên, ánh xạ đối tượng và xác minh đọc/ghi.

burpsuite-project-parser giúp tìm kiếm và trích xuất dữ liệu từ file dự án Burp Suite (.burp) bằng Burp Suite Professional và extension burpsuite-project-file-parser. Hãy dùng skill này để rà soát phát hiện kiểm tra bảo mật, lịch sử proxy, các mục site map, và tìm kiếm regex trên lưu lượng HTTP đã ghi lại.

Kỹ năng exploiting-http-request-smuggling giúp người kiểm thử được ủy quyền phát hiện và đánh giá HTTP request smuggling do sai lệch phân tích Content-Length và Transfer-Encoding giữa proxy, load balancer và CDN. Kỹ năng này được xây dựng cho quy trình Security Audit với thăm dò bằng raw request, nhận diện kiến trúc và các bước xác thực thực tế.

conducting-network-penetration-test là một kỹ năng kiểm thử xâm nhập mạng có ủy quyền, hỗ trợ khám phá host, quét cổng, liệt kê dịch vụ, xác định lỗ hổng và tạo báo cáo. Kỹ năng này theo quy trình kiểu PTES, tự động hóa xoay quanh Nmap, đồng thời có tham chiếu từ repo để cách dùng conducting-network-penetration-test rõ ràng hơn.

Kỹ năng exploiting-server-side-request-forgery giúp đánh giá các tính năng dễ dính SSRF trên mục tiêu web đã được ủy quyền, bao gồm bộ lấy URL, webhook, công cụ xem trước và truy cập metadata của cloud. Kỹ năng này cung cấp quy trình hướng dẫn để phát hiện, thử kỹ thuật vượt qua chặn, thăm dò dịch vụ nội bộ và xác thực Security Audit.

Skill exploiting-race-condition-vulnerabilities giúp chuyên viên kiểm thử bảo mật kiểm tra ứng dụng web để phát hiện lỗi TOCTOU, giao dịch trùng lặp và vượt giới hạn bằng các yêu cầu đồng thời kiểu Turbo Intruder. Nội dung bao gồm hướng dẫn cài đặt, quy trình làm việc và cách sử dụng cho các đánh giá được ủy quyền.

conducting-api-security-testing giúp người kiểm thử được ủy quyền đánh giá các API REST, GraphQL và gRPC về xác thực, phân quyền, giới hạn tốc độ, xác thực đầu vào và các lỗi logic nghiệp vụ, theo quy trình OWASP API Security Top 10. Hãy dùng skill này cho kiểm thử bảo mật API có cấu trúc, dựa trên bằng chứng và các đợt rà soát kiểm toán bảo mật.