Api Security

exploiting-jwt-algorithm-confusion-attack 技能可協助 Security Audit 工作流程測試 JWT 演算法混淆，包括 RS256 降級為 HS256、alg:none 繞過，以及 kid/jku/x5u 標頭技巧。它附有實用指南、參考範例與可重複驗證的腳本，方便進行一致化測試。

exploiting-idor-vulnerabilities 可協助授權的資安稽核針對 API、網頁應用程式與多租戶系統測試不安全直接物件參照（IDOR）漏洞，涵蓋跨會話檢查、物件對應，以及讀取／寫入驗證。

exploiting-excessive-data-exposure-in-api 可協助資安稽核團隊檢視 API 回應中是否有過度揭露的欄位，包括個資、機密、內部 ID 與除錯資料。它提供聚焦的工作流程、參考模式與分析邏輯，用來將回傳資料與預期的 schema 及角色權限做比對。

exploiting-api-injection-vulnerabilities 技能適用於安全稽核團隊，針對 API 的 SQL injection、NoSQL injection、command injection、LDAP injection 與 SSRF 進行測試，涵蓋參數、標頭與 request bodies。此指南可協助你找出高風險輸入、比較基準回應，並驗證後端互動是否可被注入。