Ssrf

“利用服务器端请求伪造”技能可帮助你在获得授权的 Web 目标中评估易受 SSRF 影响的功能，包括 URL 抓取器、webhook、预览工具以及云元数据访问。它提供了一套引导式工作流，用于检测、绕过测试、内部服务探测和 Security Audit 验证。

面向安全审计团队的 exploiting-api-injection-vulnerabilities skill，用于测试 API 中的 SQL 注入、NoSQL 注入、命令注入、LDAP 注入和 SSRF，覆盖参数、请求头和请求体等位置。本指南可帮助你识别高风险输入、对比基线响应，并验证后端交互是否可被注入。