Api Security

exploiting-jwt-algorithm-confusion-attack 技能可帮助安全审计流程测试 JWT 算法混淆，包括 RS256 到 HS256 的降级、alg:none 绕过，以及 kid/jku/x5u 头部技巧。它提供实用指南、参考示例和可重复验证的脚本，便于稳定复现测试结果。

exploiting-idor-vulnerabilities 可帮助授权安全审计在 API、Web 应用和多租户系统中测试 Insecure Direct Object Reference（IDOR）漏洞，支持跨会话检查、对象映射以及读/写验证。

exploiting-broken-function-level-authorization 技能可帮助安全审计人员测试 API 是否存在 Broken Function Level Authorization（BFLA，功能级授权缺陷）。它聚焦于发现特权端点、检查低权限访问，以及通过实用、基于证据的工作流指引验证方法或路径绕过。

exploiting-excessive-data-exposure-in-api 帮助安全审计团队检查 API 响应中是否存在过度共享字段，包括 PII、secret、内部 ID 和调试数据。它提供了聚焦的工作流、参考模式，以及用于将返回数据与预期 schema 和角色进行对比的分析逻辑。

面向安全审计团队的 exploiting-api-injection-vulnerabilities skill，用于测试 API 中的 SQL 注入、NoSQL 注入、命令注入、LDAP 注入和 SSRF，覆盖参数、请求头和请求体等位置。本指南可帮助你识别高风险输入、对比基线响应，并验证后端交互是否可被注入。