Owasp Api Top 10

exploiting-idor-vulnerabilities 可帮助授权安全审计在 API、Web 应用和多租户系统中测试 Insecure Direct Object Reference（IDOR）漏洞，支持跨会话检查、对象映射以及读/写验证。

exploiting-broken-function-level-authorization 技能可帮助安全审计人员测试 API 是否存在 Broken Function Level Authorization（BFLA，功能级授权缺陷）。它聚焦于发现特权端点、检查低权限访问，以及通过实用、基于证据的工作流指引验证方法或路径绕过。

面向安全审计团队的 exploiting-api-injection-vulnerabilities skill，用于测试 API 中的 SQL 注入、NoSQL 注入、命令注入、LDAP 注入和 SSRF，覆盖参数、请求头和请求体等位置。本指南可帮助你识别高风险输入、对比基线响应，并验证后端交互是否可被注入。

detecting-api-enumeration-attacks 可帮助安全审计团队通过分析顺序 ID、404 激增、授权失败和文档发现路径，检测 API 探测、BOLA 和 IDOR。它面向基于日志的检测指导、规则草拟以及 API 滥用模式的实操审查。