Web Security

exploiting-idor-vulnerabilities 可帮助授权安全审计在 API、Web 应用和多租户系统中测试 Insecure Direct Object Reference（IDOR）漏洞，支持跨会话检查、对象映射以及读/写验证。

exploiting-insecure-deserialization 技能可帮助经过授权的渗透测试人员识别序列化输入，匹配 Java、PHP、Python 和 .NET 目标，并以安全方式验证是否可被利用。它提供工作流指引、检测线索和工具参考，便于开展有针对性的测试。

了解 exploing-broken-link-hijacking 技能如何从过期域名、废弃服务和可认领的外部资源中发现并验证 broken link hijacking 风险。它面向 Security Audit 工作流，帮助你通过实用的分流流程，把普通失效链接与可接管目标区分开来。

exploiting-broken-function-level-authorization 技能可帮助安全审计人员测试 API 是否存在 Broken Function Level Authorization（BFLA，功能级授权缺陷）。它聚焦于发现特权端点、检查低权限访问，以及通过实用、基于证据的工作流指引验证方法或路径绕过。

“利用服务器端请求伪造”技能可帮助你在获得授权的 Web 目标中评估易受 SSRF 影响的功能，包括 URL 抓取器、webhook、预览工具以及云元数据访问。它提供了一套引导式工作流，用于检测、绕过测试、内部服务探测和 Security Audit 验证。

exploiting-race-condition-vulnerabilities 技能可帮助安全审计人员使用类似 Turbo Intruder 的并发请求，对 Web 应用进行 TOCTOU 漏洞、重复交易和限额绕过测试。内容包含授权评估所需的安装、工作流和使用指南。