security-checklist
OWASP Top 10 Sicherheits-Best-Practices anwenden
Anwendungen werden oft mit kritischen Sicherheitslücken ausgeliefert. Dieser Skill bietet KI-Agenten umfassende Sicherheits-Checklists basierend auf dem OWASP Top 10. Agenten können ihn nutzen, um Schwachstellen wie Injektionsangriffe, defekte Authentifizierung und die Offenlegung sensibler Daten zu identifizieren und zu verhindern, bevor der Code in die Produktion gelangt.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "security-checklist". Überprüfung des Authentifizierungscodes auf Sicherheitsprobleme
النتيجة المتوقعة:
- Passwort-Hashing verwendet bcrypt (starker Algorithmus)
- Session-Cookies ohne HTTPOnly-Flag - Ergänzung von SESSION_COOKIE_HTTPONLY = True empfohlen
- Rate-Limiting konfiguriert (5 Versuche pro 15 Minuten)
- Generische Fehlermeldungen verwendet (keine Benutzeraufzählung)
- MFA nicht implementiert - Empfehlung zur Ergänzung von TOTP oder SMS-Verifizierung
استخدام "security-checklist". Überprüfung der API-Endpunkte auf defekte Zugriffskontrollen
النتيجة المتوقعة:
- GET /api/users/:id ohne Autorisierungsprüfung - Ergänzung der Eigentümerverifizierung empfohlen
- Admin-Routen erfordern Admin-Rolle (korrekt)
- Alle Endpunkte verwenden parametrisierte Abfragen (korrekt)
- Empfehlung zur Ergänzung von Rate-Limiting zur Verhinderung von Aufzählung
التدقيق الأمني
آمنThis skill is a pure markdown knowledge base containing only security documentation and educational code examples. No executable code, network calls, filesystem access, or external commands are present. All static findings (194 patterns) are false positives triggered by educational examples showing both vulnerable and secure coding patterns for documentation purposes.
عوامل الخطر
⚡ يحتوي على سكربتات (2)
⚙️ الأوامر الخارجية (2)
🌐 الوصول إلى الشبكة (2)
درجة الجودة
ماذا يمكنك بناءه
Sichere API-Endpunkte
Überprüfung der Authentifizierungs- und Autorisierungslogik für geschützte Endpunkte. Verhindert IDOR und Rechteausweitung.
Verhinderung von Injektionsangriffen
Implementierung parametrisierter Abfragen und Ausgabe-Codierung. Blockierung von XSS, SQL-Injection und Command-Injection.
Abhängigkeiten-Scanning für Schwachstellen
Ausführung von npm audit, pip-audit und anderen Tools. Verfolgung kritischer Ergebnisse und Blockierung von Deployments mit Schwachstellen.
جرّب هذه الموجهات
Überprüfung des Codes auf Sicherheitslücken mithilfe des Sicherheits-Checklist-Skills. Kontrolle auf OWASP Top 10 Probleme wie Injektionsangriffe, Authentifizierungsschwächen und fehlende Sicherheits-Header.
Audit der Authentifizierungsimplementierung. Verifizierung von Passwort-Hashing, Session-Management, MFA-Unterstützung und Rate-Limiting gemäß Sicherheitsbest Practices.
Durchführung eines Schwachstellen-Scans für Abhängigkeiten. Nutzung von npm audit für JavaScript oder pip-audit für Python-Projekte. Meldung kritischer und hoher Schweregrade-Befunde.
Überprüfung aller API-Endpunkte auf defekte Zugriffskontrollen. Verifizierung von Autorisierungsprüfungen, IDOR-Prävention und RBAC-Implementierung für jede geschützte Route.
أفضل الممارسات
- Validierung aller Benutzereingaben mittels Allowlisten, nicht Denylisten
- Verwendung parametrisierter Abfragen für alle Datenbankoperationen
- Implementierung von Defense in Depth mit mehreren Sicherheitsebenen
- Protokollierung von Sicherheitsereignissen ohne Erfassung sensibler Daten
تجنب
- Verwendung von String-Konkatenation zur Erstellung von SQL-Abfragen
- Speicherung von Passwörtern mit MD5- oder SHA1-Hashing
- Belassen des Debug-Modus in der Produktion
- Offenlegung von Stack-Traces oder Fehlerdetails gegenüber Benutzern