Fähigkeiten security-checklist
📦
security-checklist
Mittleres Risiko ⚡
Enthält Skripte⚙️
Externe Befehle🌐
Netzwerkzugriff📁
Dateisystemzugriff🔑
Umgebungsvariablen
Anwendungssicherheit mit OWASP-Checklisten prüfen
Sicherheitsprüfungen übersehen häufig gängige Webrisiken und sammeln Nachweise uneinheitlich. Dieser Skill bietet Claude, Codex und Claude Code strukturierte OWASP-Anleitungen, Scanner-Workflows und Prüfchecklisten.
Unterstützt: Claude Codex Code(CC)
1
Die Skill-ZIP herunterladen
2
In Claude hochladen
Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen
3
Einschalten und loslegen
Agent-lesbare Ressourcen
Verwende diese Links, wenn ein AI Agent, Crawler oder Skript sauberen Kontext benötigt, statt die ganze Seite zu lesen.
Teste es
Verwendung von "security-checklist". Prüfe vor dem Release einen neuen Passwort-zurücksetzen-Ablauf.
Erwartetes Ergebnis:
- Hohe Priorität: generische Antworten für gültige und ungültige E-Mail-Adressen verlangen.
- Rate Limits und temporäre Sperren für wiederholte Zurücksetzungsanfragen hinzufügen.
- Sicherstellen, dass Reset-Tokens schnell ablaufen und nach der Nutzung ungültig gemacht werden.
- Zurücksetzungsanfragen protokollieren, ohne Tokens oder Passwörter zu speichern.
Verwendung von "security-checklist". Fasse die Bereitschaft für Abhängigkeitsscans eines Node.js-Dienstes zusammen.
Erwartetes Ergebnis:
- npm audit ausführen und die Anzahl kritischer, hoher, mittlerer und niedriger Befunde erfassen.
- Release bei jeder kritischen Schwachstelle oder mehr als fünf hohen Befunden blockieren.
- Akzeptierte False Positives mit Paketname, Advisory und Begründung dokumentieren.
- Behebungen nur ausführen, nachdem bestätigt wurde, dass die Abhängigkeitsänderungen akzeptabel sind.
Verwendung von "security-checklist". Prüfe SSRF-Schutzmaßnahmen für einen URL-Fetch-Endpunkt.
Erwartetes Ergebnis:
- Eine Domain-Allowlist für ausgehende Anfragen verlangen.
- localhost, private Adressbereiche und Cloud-Metadata-Endpunkte blockieren.
- Weiterleitungen deaktivieren oder jedes Weiterleitungsziel validieren.
- Kurze Timeouts setzen und externe Fetcher von internen Diensten isolieren.
Sicherheitsaudit
Mittleres Risikov6 • 6/28/2026
Static analysis flagged many dangerous patterns, but review shows they are mostly documentation examples, defensive test payloads, and checklist items. No malicious intent or prompt injection was found. The skill still carries medium operational risk because it instructs agents to run local scanners, write scan reports, and handle secret-scan results.
2
Gescannte Dateien
1,270
Analysierte Zeilen
11
befunde
6
Gesamtzahl Audits
Probleme mit mittlerem Risiko (3)
Local Security Tool Execution Guidance
TRUE POSITIVE for operational risk. The skill instructs agents to run npm audit, pip-audit, Semgrep, Bandit, TruffleHog, Trivy, and related shell commands. These are legitimate defensive tools, but they execute local commands, can create report files, and may contact package or vulnerability services.
Project-Mutating Dependency Fix Command
TRUE POSITIVE for change risk. The skill includes npm audit fix as a recommended mitigation command. This command can modify dependency lockfiles or installed packages, so it should require user approval in managed workflows.
Secret Scan Output Handling
TRUE POSITIVE for sensitive-data handling risk. The skill teaches agents to run secret scanners and save results, which may contain secret types or sensitive repository evidence. It does not direct exfiltration, but outputs should be treated as confidential.
Probleme mit niedrigem Risiko (3)
checklists/owasp-top-10-checklist.md:71-75checklists/owasp-top-10-checklist.md:225-245SKILL.md:378-415
Dangerous Payloads Used as Defensive Test Examples
FALSE POSITIVE for malicious behavior. SQL injection strings, command substitution strings, internal IP addresses, and metadata endpoint URLs appear as security test cases and SSRF checklist items. They are not executed by the skill files.
Unsafe Code Patterns Presented as Anti-Patterns
FALSE POSITIVE for direct exploit code. eval, exec, shell=True, weak hashing, and vulnerable request examples are presented as bad examples with safer alternatives or mitigation guidance. The documentation warns users to avoid these patterns.
Sensitive Keyword Matches Without Credential Access
FALSE POSITIVE for credential theft. SECRET_KEY, environment variable guidance, private key mentions, and cookie SameSite text are part of secure configuration examples or checklist language. No evidence found of reading real secrets or sending them to a remote endpoint.
Risikofaktoren
⚡ Enthält Skripte (2)
⚙️ Externe Befehle (11)
🌐 Netzwerkzugriff (6)
📁 Dateisystemzugriff (2)
🔑 Umgebungsvariablen (3)
Erkannte Muster
Shell Commands in DocumentationNetwork and SSRF Test Targets
Auditiert von: codex Audit-Verlauf anzeigen →
Qualitätsbewertung
55
Architektur
100
Wartbarkeit
87
Inhalt
70
Community
44
Sicherheit
74
Spezifikationskonformität
Was du bauen kannst
Ein Web-Feature vor dem Release prüfen
Authentifizierung, Autorisierung, Eingabevalidierung, Logging, Abhängigkeitsrisiken und Sicherheitsheader vor der Bereitstellung prüfen.
Nachweise für eine Sicherheitsprüfung vorbereiten
Scan-Ergebnisse, Schweregradzählungen und Mitigationsnotizen in einem konsistenten Format für Prüfer sammeln.
Eine bestehende Anwendung härten
OWASP-Kontrollen nutzen, um Lücken bei Sitzungen, Secrets, SSRF-Schutz, Abhängigkeitshygiene und Monitoring zu finden.
Probiere diese Prompts
Grundlegende Sicherheitscheckliste
Verwende den Skill security-checklist, um dieses Feature anhand der OWASP Top 10 zu prüfen. Liste die höchsten Risiken, fehlenden Kontrollen und einfachen Behebungen auf.
Authentifizierungsprüfung
Verwende den Skill security-checklist, um unser Authentifizierungs- und Autorisierungsdesign zu bewerten. Behandle Passwortspeicherung, MFA, Sitzungen, JWTs, Rate Limits und Zugriffskontrolle.
Release-Readiness-Audit
Verwende den Skill security-checklist, um eine Sicherheitsprüfung für das Release vorzubereiten. Schließe auszuführende Scanner-Befehle, zu sammelnde Nachweise, blockierende Schwellenwerte und Prioritäten für die Behebung ein.
Fortgeschrittene Threat-Model-Prüfung
Verwende den Skill security-checklist, um für diese Architektur ein Threat Model zu erstellen. Bewerte OWASP-Risiken, SSRF-Grenzen, Secret-Handling, Supply-Chain-Kontrollen, Logging, Monitoring und Compliance-Lücken.
Bewährte Verfahren
- Vor dem Ausführen von Scanner-Befehlen fragen, die Tools installieren, auf Netzwerke zugreifen oder Projektdateien ändern.
- Secret-Scan-Berichte und Schwachstellennachweise als vertrauliche Projektdaten behandeln.
- Automatisierte Scan-Ausgaben mit manueller Prüfung von Authentifizierung, Autorisierung und Datenverarbeitung kombinieren.
Vermeiden
- Ein Release nicht nur deshalb als sicher markieren, weil ein einzelner Scanner keine Befunde zurückgibt.
- Keine Dependency-Fix-Befehle ausführen, ohne die daraus resultierenden Paketänderungen zu prüfen.
- Keine Secrets, Tokens oder unbearbeiteten sensiblen Scan-Ausgaben in öffentliche Issue-Tracker einfügen.
Häufig gestellte Fragen
Führt dieser Skill Sicherheits-Scans selbst aus?
Nein. Er stellt Befehle und Workflows bereit, die ein Agent oder Benutzer mit entsprechender Zustimmung ausführen kann.
Welchem Sicherheitsstandard folgt er?
Er konzentriert sich auf die OWASP Top 10 und ergänzt praktische Prüfungen für Authentifizierung, Scanning, Header, Logging, GDPR und SOC 2.
Kann er einen Penetrationstest ersetzen?
Nein. Er hilft beim Vorbereiten und Strukturieren von Prüfungen, aber für Hochrisikosysteme sind weiterhin Expertentests erforderlich.
Warum ist die Risikostufe im Marketplace mittel?
Der Skill ist defensiv, umfasst aber lokale Befehlsausführung, Dependency-Fixes, netzwerkbewusste Scanner und den Umgang mit Secret-Scans.
Ist er für Claude, Codex und Claude Code geeignet?
Ja. Der Bericht nennt Unterstützung für Workflows mit Claude, Codex und Claude Code.
Was sollten Benutzer prüfen, bevor sie Empfehlungen anwenden?
Benutzer sollten Befehlseffekte, Scan-False-Positives, Abhängigkeitsänderungen, Compliance-Annahmen und jede Ausgabe prüfen, die sensible Daten enthalten kann.