技能 pentest-checklist

🛡️

pentest-checklist

Name: pentest-checklist
Author: sickn33

安全

تخطيط اختبارات الاختراق الاحترافية

توفر هذه المهارة إطار عمل شامل لتخطيط وتنفيذ اختبارات الاختراق، مع ضمان التفويض المناسب وتحديد النطاق ومتابعة المعالجة للتقييمات الأمنية الفعالة.

支援: Claude Codex Code(CC)

⚠️ 65 差

下載技能 ZIP

在 Claude 中上傳

前往設定 → 功能 → 技能 → 上傳技能

開啟並開始使用

測試它

正在使用「pentest-checklist」。 ما هي المراحل الرئيسية لاختبار الاختراق؟

預期結果:

يتبع اختبار الاختراق عادة خمس مراحل: 1) تعريف النطاق (الأهداف، التهديدات، الحدود)، 2) إعداد البيئة (إعداد بيئة الاختبار، فحص خط الأساس)، 3) اختيار الخبرة (اختيار البائع، تعريف المنهجية)، 4) المراقبة (المراقبة الأمنية، إعداد السجلات)، 5) المعالجة (تحليل النتائج، التحقق من الإصلاح).

正在使用「pentest-checklist」。 ماذا يجب تضمينه في وثيقة نطاق اختبار الاختراق؟

預期結果:

يجب أن تتضمن وثيقة نطاق اختبار الاختراق: الأنظمة المستهدفة (عناوين IP، النطاقات، التطبيقات)، العناصر خارج النطاق، تقنيات الاختبار المسموح بها، الجدول الزمني والجدولة، بيانات الاعتماد للوصول المقدمة، جهات اتصال الطوارئ، تأكيد التفويض القانوني، ومتطلبات الامتثال.

正在使用「pentest-checklist」。 كيف يمكنني تقييم بائعي اختبارات الاختراق؟

預期結果:

قيم البائعين من خلال: التحقق من الشهادات (OSCP، GPEN، CEH، CREST)، ومراجعة نماذج التقارير للجودة والتفصيل، والتحقق من الخبرة مع منظمات مماثلة، وتأكيد توافق المنهجية (OWASP، PTES)، وتقييم عمليات الاتصال، والتحقق من المراجع من عملاء مماثلين.

安全審計

安全

v1 • 2/24/2026

This skill is a documentation/guide for planning legitimate penetration tests. The static analyzer flagged example commands (nmap, nikto, tcpdump), tool references, and cloud provider documentation links. All flagged items are legitimate security testing educational content shown in markdown code blocks - they are not executable code. The skill emphasizes authorization, legal compliance, and proper scoping. All 31 static findings are FALSE POSITIVES.

已掃描檔案

340

分析行數

發現項

審計總數

高風險問題 (4)

SKILL.md:109-115 SKILL.md:197-204 SKILL.md:321-322

Static Analyzer Flag: Example Security Tools Referenced

Example commands in code blocks (nmap, nikto, tcpdump, sudo) are LEGITIMATE security testing tools shown for educational purposes in markdown documentation. These are not executable by the skill - they are example references for users to understand pentest methodology.

SKILL.md:130-132

Static Analyzer Flag: Hardcoded URLs to Cloud Provider Docs

URLs to AWS, Azure, GCP security documentation are legitimate reference links for penetration testing policies.

SKILL.md:68 SKILL.md:138 SKILL.md:217 SKILL.md:248-255 SKILL.md:300

Static Analyzer Flag: System/Network Reconnaissance Keywords

Mentions of reconnaissance, scanning tools, and testing techniques are part of legitimate security education - explaining what pentesters test FOR, not how to attack without authorization.

SKILL.md:254

Static Analyzer Flag: Malware Type Keywords

Mentions of 'backdoors' appear in the cleanup procedure section - instructing users to REMOVE test artifacts, not create them.

審計者: claude

品質評分

架構

100

可維護性

內容

社群

安全

規範符合性

你能建構什麼

تقييم أمني لأول مرة

مدير أمن يخطط لأول تقييم خارجي لاختبار الاختراق في مؤسسته يستخدم هذه المهارة لفهم تحديد النطاق والميزانية ومعايير اختيار البائع.

تخطيط اختبار الاختراق السنوي

مدير تقنية المعلومات يحدد اختبارات الاختراق الدورية ويستخدم المهارة لضمان التفويض المناسب وإعداد البيئة وتتبع المعالجة.

تنسيق تمرين الفريق الأحمر

قائد الفريق الأحمر يستخدم المهارة لتنسيق تمارين محاكاة الخصم الكاملة، بما في ذلك تعريف النطاق وقواعد الاشتراك وتنظيف ما بعد التمرين.

試試這些提示

تخطيط أساسي لاختبار الاختراق

ساعدني في التخطيط لاختبار اختراق لتطبيق الويب الخاص بشركتي. ما هي المراحل الرئيسية التي يجب أن أتبعها؟

تحديد نطاق اختبار الاختراق

ماذا يجب أن أضمن في وثيقة النطاق لاختبار اختراق تطبيق ويب؟ ما هي الأنظمة التي تكون عادة ضمن النطاق وخارج النطاق؟

اختيار نوع الاختبار

ما الفرق بين اختبار الاختراق ذو الصندوق الأسود والصندوق الرمادي والصندوق الأبيض؟ أيهما يجب أن أختار لتقييم شبكتي الخارجية؟

تخطيط المعالجة

بعد تلقي نتائج اختبار الاختراق، كيف يجب أن أعطي الأولوية وأتتبع معالجة النتائج؟

最佳實務

احصل دائمًا على تفويض قانوني كتابي قبل الاختبار
حدد حدود نطاق واضحة وثيق عمليات الاستبعاد
جدول الاختبار خلال فترات الحركة المنخفضة
تأكد من التسجيل والمراقبة الشاملين أثناء الاختبار
خطط لوقت المعالجة واختبار التحقق بعد النتائج

避免

الاختبار في بيئة الإنتاج بدون ضوابط مناسبة
تخطي مرحلة توثيق التفويض
السماح بنطاق اختبار غير محدود بدون حدود
تجاهل النتائج التي تبدو منخفضة الخطورة
عدم جدولة اختبار التحقق المتابعة

常見問題

هل هذه المهارة بديل عن مختبري الاختراق المحترفين؟

لا. توفر هذه المهارة إرشادات التخطيط والقوائم المرجعية. يجب على مختبري الاختراق المحترفين ذوي الشهادات المناسبة (OSCP، GPEN) تنفيذ الاختبار الفعلي.

ما هي أنواع اختبارات الاختراق التي يمكنني التخطيط لها بهذه المهارة؟

يمكنك التخطيط لاختبارات الاختراق للشبكات الخارجية، والشبكات الداخلية، واختبارات تطبيقات الويب، وتقييمات الهندسة الاجتماعية، وتمارين الفريق الأحمر.

كم مرة يجب أن أجرى اختبارات الاختراق؟

الاختبار السنوي هو الحد الأدنى لمعظم المنظمات. قد تتطلب البيئات عالية المخاطر، أو التغييرات المتكررة، أو المتطلبات التنظيمية (PCI-DSS) اختبارات ربع سنوية أو مستمرة.

ما هي أطر الامتثال التي تعالجها هذه المهارة؟

تشير المهارة إلى متطلبات الامتثال لـ GDPR و PCI-DSS و HIPAA لاختبارات الأمان.

هل يمكنني استخدام هذه المهارة لبرامج مكافآت الأخطاء؟

نعم، تذكر المهارة مكافآت الأخطاء كبديل أو مكمل لاختبارات الاختراق التقليدية للتقييم الأمني المستمر.

ماذا يجب أن أفعل بنتائج اختبار الاختراق؟

أعطِ الأولوية للنتائج حسب شدة المخاطر، وطور خطط معالجة، ونفذ الإصلاحات، وجدول اختبار التحقق لتأكيد حل الثغرات الأمنية.

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/pentest-checklist

引用

main

檔案結構

📄 SKILL.md