Burp

exploiting-idor-vulnerabilities 可帮助授权安全审计在 API、Web 应用和多租户系统中测试 Insecure Direct Object Reference（IDOR）漏洞，支持跨会话检查、对象映射以及读/写验证。

burpsuite-project-parser 使用 Burp Suite Professional 和 burpsuite-project-file-parser 扩展，在 Burp Suite 项目文件（.burp）中搜索并提取数据。适用于安全审计发现、代理历史记录、站点地图条目，以及对已捕获 HTTP 流量进行正则搜索。

exploiting-http-request-smuggling 技能可帮助授权测试人员通过代理、负载均衡器和 CDN 之间对 Content-Length 与 Transfer-Encoding 解析不一致的问题，检测并评估 HTTP request smuggling。它面向 Security Audit 工作流，提供原始请求探测、架构指纹识别和实用的验证步骤。

conducting-network-penetration-test 是一项经过授权的网络渗透测试技能，用于主机发现、端口扫描、服务枚举、漏洞识别和报告输出。它遵循 PTES 风格的工作流，以 Nmap 为核心进行自动化，并结合仓库中的参考资料，让 conducting-network-penetration-test 的使用更清晰。

“利用服务器端请求伪造”技能可帮助你在获得授权的 Web 目标中评估易受 SSRF 影响的功能，包括 URL 抓取器、webhook、预览工具以及云元数据访问。它提供了一套引导式工作流，用于检测、绕过测试、内部服务探测和 Security Audit 验证。

exploiting-race-condition-vulnerabilities 技能可帮助安全审计人员使用类似 Turbo Intruder 的并发请求，对 Web 应用进行 TOCTOU 漏洞、重复交易和限额绕过测试。内容包含授权评估所需的安装、工作流和使用指南。

conducting-api-security-testing 可帮助授权测试人员依据 OWASP API Security Top 10 工作流，评估 REST、GraphQL 和 gRPC API 的身份验证、授权、速率限制、输入校验以及业务逻辑缺陷。适合用于结构化、以证据为基础的 API 安全测试和安全审计复核。