Web Security

exploiting-idor-vulnerabilities hỗ trợ các cuộc kiểm tra an ninh được cấp phép nhằm phát hiện lỗ hổng Insecure Direct Object Reference trên API, ứng dụng web và hệ thống đa thuê bao, với các kiểm tra xuyên phiên, ánh xạ đối tượng và xác minh đọc/ghi.

Kỹ năng exploiting-insecure-deserialization giúp kiểm thử viên xâm nhập được ủy quyền xác định dữ liệu đã được tuần tự hóa, nhận diện mục tiêu Java, PHP, Python và .NET, đồng thời kiểm tra khả năng khai thác một cách an toàn. Nội dung bao gồm hướng dẫn quy trình, dấu hiệu nhận biết và tham chiếu công cụ để kiểm thử có trọng tâm.

Tìm hiểu cách skill khai thác broken link hijacking phát hiện và xác thực rủi ro chiếm quyền từ các domain hết hạn, dịch vụ bị bỏ quên và tài nguyên bên ngoài có thể yêu cầu lại. Được xây dựng cho quy trình Security Audit, skill này giúp phân biệt các liên kết hỏng vô hại với các ứng viên có thể bị takeover bằng một quy trình sàng lọc thực tế.

Kỹ năng khai thác broken function level authorization giúp các kiểm toán viên bảo mật kiểm thử API để phát hiện Broken Function Level Authorization (BFLA). Kỹ năng này tập trung vào việc tìm các endpoint có đặc quyền, kiểm tra khả năng truy cập của tài khoản quyền thấp, và xác thực các cách vượt qua bằng method hoặc path với quy trình hướng dẫn thực tế, dựa trên bằng chứng.

Kỹ năng exploiting-server-side-request-forgery giúp đánh giá các tính năng dễ dính SSRF trên mục tiêu web đã được ủy quyền, bao gồm bộ lấy URL, webhook, công cụ xem trước và truy cập metadata của cloud. Kỹ năng này cung cấp quy trình hướng dẫn để phát hiện, thử kỹ thuật vượt qua chặn, thăm dò dịch vụ nội bộ và xác thực Security Audit.

Skill exploiting-race-condition-vulnerabilities giúp chuyên viên kiểm thử bảo mật kiểm tra ứng dụng web để phát hiện lỗi TOCTOU, giao dịch trùng lặp và vượt giới hạn bằng các yêu cầu đồng thời kiểu Turbo Intruder. Nội dung bao gồm hướng dẫn cài đặt, quy trình làm việc và cách sử dụng cho các đánh giá được ủy quyền.