securitytesting-security
idor-methodology
IDOR 不安全直接对象引用检测与利用。当 API/URL 中出现用户 ID、订单号、文件名等可预测标识符,或需要测试水平越权(访问他人数据)和垂直越权(获取管理员权限)时使用。覆盖 ID 遍历、绕过技巧(参数污染/编码/方法切换)、多步 IDOR 链、文件资源 IDOR、批量操作越权、间接引用枚举、框架特征利用、UUID 猜测、响应对比分析、写操作越权、JWT Claims 篡改。发现 API 端点后务必加载本 skill 检查越权问题
maintainer
wgpsec
আপডেট হয়েছে 4/7/2026
স্টার
1109
ফর্ক
193
quick start
Installation and usage
IDOR 不安全直接对象引用检测与利用。当 API/URL 中出现用户 ID、订单号、文件名等可预测标识符,或需要测试水平越权(访问他人数据)和垂直越权(获取管理员权限)时使用。覆盖 ID 遍历、绕过技巧(参数污染/编码/方法切换)、多步 IDOR 链、文件资源 IDOR、批量操作越权、间接引用枚举、框架特征利用、UUID 猜测、响应对比分析、写操作越权、JWT Claims 篡改。发现 API 端点后务必加载本 skill 检查越权问题
ইনস্টলেশন
$ install --globalskills.sh
ব্যবহার
ইনস্টল করার পর, টার্মিনালে নিচের কমান্ড চালিয়ে আপনি এই স্কিল ব্যবহার করতে পারবেন:
skills use idor-methodology