对 SMTP（简单邮件传输协议）服务器进行全面的安全评估，以识别开放中继、用户枚举、弱身份验证和错误配置等漏洞。该技能涵盖横幅抓取、用户枚举技术、中继测试、暴力攻击和安全强化建议。

重要 - 路径解析：此技能可以安装在不同位置（插件系统、手动安装、全局或特定于项目）。在执行任何命令之前，请根据加载此 SKILL.md 文件的位置确定技能目录，并在下面的所有命令中使用该路径。将 $SKILL_DIR 替换为实际发现的路径。

提供系统方法来识别和利用 Web 应用程序中的不安全直接对象引用 (IDOR) 漏洞。该技能涵盖数据库对象引用和静态文件引用、使用参数操作和枚举的检测技术、通过 Burp Suite 进行利用以及保护应用程序免受未经授权的访问的补救策略。

识别并利用允许攻击者将恶意 HTML 内容注入 Web 应用程序的 HTML 注入漏洞。此漏洞使攻击者能够修改页面外观、创建网络钓鱼页面并通过注入表单窃取用户凭据。

对 Web 应用程序执行全面的客户端注入漏洞评估，以识别 XSS 和 HTML 注入缺陷，演示会话劫持和凭证盗窃的利用技术，并验证输入清理和输出编码机制。此技能可以跨存储、反射和基于 DOM 的攻击向量进行系统检测和利用。

计划：

计划：

计划：

迭代地运行测试来修复代码或测试，直到全部通过，然后提交。

暂无简介

核心原则：如果你没有看到测试失败，你就不知道它是否测试了正确的东西。

每张通行证都有一个工作。通过这个镜头重新阅读整个工件。请参阅references/pass-order-rationale.md 了解订单原理。

更正符号和日期戳时：

运行回测时：

要测试本地 Web 应用程序，请编写本机 Python Playwright 脚本。

编写测试时：

测试必须验证真实行为，而不是模拟行为。模拟是一种隔离手段，而不是被测试的东西。

根据 The Prompt Report（由 OpenAI、微软和 Google 共同撰写）的研究，即时工程是关于“人工社交智能”——知道如何通过特定的结构模式从模型中获得最佳性能。

此技能有助于使用内置测试实用程序为 Salvo 应用程序编写测试。

使用 Vitest、MSW 和特定于项目的测试助手，指导按照单元测试、集成测试和 E2E 测试的项目模式创建综合测试。