MCP App StoreMCP App Store
de mukul975
Techniques et vérifications pour identifier et exploiter les mauvaises configurations courantes des JWT (alg none, confusion d'algorithme, injection kid/JKU, secrets faibles).
Quand l'utiliser : Évaluer les applications qui utilisent les JWT pour l'authentification et l'autorisation (API, SSO, OAuth/OIDC).
Vue d'ensemble : Flux de travail pratique pour décoder les JWT, vérifier les champs d'en-tête (alg, kid, jku, x5u), tester les contournements de l'algorithme 'none', la confusion d'algorithme (RS256→HS256), les injections basées sur le kid (SQLi, traversée de chemin, SSRF), les attaques JKU/X5U, et le brute-force des secrets HMAC faibles. Inclut des outils et des conseils de remédiation.
Étapes :
Résultat : Un rapport concis d'évaluation de la sécurité JWT listant les conclusions, l'impact et les remédiations prioritaires (liste blanche des algs, validation du kid, ignorance des jku/x5u non approuvés, secrets forts, expirations appropriées).
Cette compétence n'a pas encore été examinée par notre pipeline d'audit automatisé.
Analyse du Renseignement des Sites de Fuite de Ransomware
Collecter et analyser les publications des sites de fuite de données (DLS) de ransomware pour extraire des renseignements sur les victimes, les groupes, les secteurs et la chronologie pour la chasse aux menaces et l'évaluation des risques.
Évaluation des plateformes de Threat Intelligence
Guide l'acquisition, l'évaluation et les tests de preuve de concept pour les plateformes de Threat Intelligence (MISP, OpenCTI, ThreatConnect, Anomali, EclecticIQ) basés sur inte
Modélisation des Menaces avec OWASP Threat Dragon
Utilisez OWASP Threat Dragon pour créer des diagrammes de flux de données, appliquer les classifications de menaces STRIDE/LINDDUN et générer des rapports de modélisation des menaces pour guider les revues de conception sécurisée.
Test des Vulnérabilités XSS avec Burp Suite
Flux de travail guidé pour identifier, valider et documenter les XSS réfléchis, stockés et basés sur le DOM à l'aide de Burp Suite (scanner, repeater, intruder, DOM Invader).
Chasse aux Beacons Cobalt Strike
Détectez l'activité réseau des beacons Cobalt Strike à l'aide de signatures de certificats TLS, d'empreintes JA3/JA3S/JARM, de correspondance de profils HTTP et d'analyse temporelle dans Zeek/Suricata.
Mise en œuvre de la persistance de domaine avec DCSync
Procédures guidées pour identifier les comptes capables de DCSync et extraire les hachages d'identifiants Active Directory (KRBTGT, admin) pour les tests de red-team autorisés et la validation.
Reverse Engineer
Provides step-by-step guidance and best practices for binary reverse engineering: static analysis, dynamic tracing, disassembly, and documentation workflows for
Sandbox0 Integration
Guidance and templates for integrating Sandbox0 sandboxing into AI agents — CLI/SDK patterns, templates, volumes, network policy, and deployment choices.
Clerk Vue Patterns
Vue 3 integration patterns for Clerk: composables, router guards, and Pinia auth store integration.
CTF Write-up Generator
Generate a concise, reproducible submission-style CTF writeup with a one-path solution script, metadata, and a short checklist for fast verification.
Cognitive Accessibility Specialist
Audits content, forms and authentication flows for cognitive accessibility (WCAG 2.2 / COGA) and gives prioritized remediation and plain-language guidance.
Azure External Attack Surface Management
Provides expert guidance for Azure External Attack Surface Management (EASM): quotas, configuration, integrations, and exporting inventory to analytics platform
Node.js Best Practices
Guidelines and decision-making for Node.js architecture, runtime, async patterns, security, validation, and testing to inform framework and system choices.
radar — Smart Contract AST & Security Analysis
Multi-framework AST generator and static analysis tool for smart contracts (Rust/Anchor/Stylus and Solidity/Foundry) with a template DSL for writing detection r