Fähigkeiten broken-authentication
🔐

broken-authentication

Sicher

Test der Authentifizierungssicherheit

Identifizieren Sie defekte Authentifizierungsschwachstellen in Webanwendungen mit systematischen Testmethodiken. Diese Fähigkeit führt Sicherheitsexperten durch die Bewertung von Passwortrichtlinien, Tests des Sitzungsmanagements und die Analyse von Credential-Stuffing-Angriffen.

Unterstützt: Claude Codex Code(CC)
📊 70 Angemessen
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "broken-authentication". Wie teste ich, ob unsere Anwendung anfällig für Credential Stuffing ist?

Erwartetes Ergebnis:

  • Credential-Stuffing-Tests beinhalten die Verwendung bekannter kompromittierter Benutzername:Passwort-Paare, um zu testen, ob Benutzer Passwörter wiederverwenden. Wichtige Schritte:
  • 1. Bezug legitimer Credential-Listen (Have I Been Pwned)
  • 2. Verwendung automatisierter Tools mit abgeglichenen E-Mail:Passwort-Paaren
  • 3. Implementierung langsamer Anfrageraten zur Vermeidung von Erkennung
  • 4. Testen mehrerer Konten, um betroffene Benutzer zu identifizieren
  • Wichtig: Nur mit Autorisierung und eigenen Testkonten testen

Verwendung von "broken-authentication". Was macht ein Sitzungstoken unsicher?

Erwartetes Ergebnis:

  • Unsichere Sitzungstokens weisen oft folgende Merkmale auf:
  • - Geringe Entropie (vorhersagbare Muster)
  • - Unzureichende Länge (weniger als 128 Bit)
  • - Enthält sensible Daten (Benutzer-IDs, Zeitstempel)
  • - Fehlende Sicherheits-Flags (HttpOnly, Secure, SameSite)
  • - Keine serverseitige Validierung
  • Testen Sie durch Sammeln mehrerer Tokens und Analyse auf Muster

Sicherheitsaudit

Sicher
v1 • 2/25/2026

This is a legitimate security education skill for testing authentication vulnerabilities. All static findings are false positives - the skill contains documentation and examples showing testing methodologies, not malicious code. The skill explicitly requires written authorization and is designed for authorized security testing professionals.

1
Gescannte Dateien
482
Analysierte Zeilen
0
befunde
1
Gesamtzahl Audits
Keine Sicherheitsprobleme gefunden
Auditiert von: claude

Qualitätsbewertung

38
Architektur
100
Wartbarkeit
87
Inhalt
31
Community
100
Sicherheit
83
Spezifikationskonformität

Was du bauen kannst

Sicherheitsbewertung vor dem Deployment

Testen Sie Authentifizierungsmechanismen in Staging-Umgebungen vor der Produktivfreigabe, um Schwachstellen zu identifizieren

Red-Team-Einsatz

Bewerten Sie die Authentifizierungssicherheit von Kunden im Rahmen autorisierter Penetration-Testing-Einsätze

Sicherheitsschulung und Ausbildung

Erlernen Sie Methodiken zum Testen von Authentifizierungsschwachstellen für die berufliche Weiterentwicklung

Probiere diese Prompts

Einfacher Passwortrichtlinien-Test 
Helfen Sie mir, die Passwortrichtlinie unseres Anmeldesystems zu testen. Welche Passwortanforderungen sollte ich überprüfen und wie kann ich Schwachstellen in der Richtlinien-Durchsetzung identifizieren?
Sitzungstoken-Analyse 
Ich muss Sitzungstokens aus unserer Anwendung analysieren. Nach welchen Merkmalen sollte ich suchen, um festzustellen, ob Sitzungstokens sicher sind? Wie teste ich auf Vorhersagbarkeit?
Kontosperr-Test 
Leiten Sie mich durch das Testen von Kontosperrmechanismen. Was sind die Testschritte, um zu verifizieren, dass die Sperre korrekt funktioniert, und welche Umgehungstechniken sollte ich überprüfen?
MFA-Implementierungsprüfung 
Welche Sicherheitsprüfungen sollte ich beim Testen der Multi-Faktor-Authentifizierungsimplementierung durchführen? Wie identifiziere ich häufige MFA-Umgehungsschwachstellen?

Bewährte Verfahren

  • Immer schriftliche Autorisierung vor dem Testen eines Systems einholen
  • Dedizierte Testkonten anstelle echter Benutzeranmeldedaten verwenden
  • Alle Erkenntnisse mit Proof-of-Concept-Nachweisen dokumentieren

Vermeiden

  • Testen von Produktivsystemen ohne ausdrückliche Autorisierung
  • Verwendung echter kompromittierter Anmeldedaten aus tatsächlichen Datenlecks
  • Versuch, auf Konten anderer Benutzer zuzugreifen

Häufig gestellte Fragen

Ist diese Fähigkeit sicher zu verwenden?
Ja, dies ist eine legitime Fähigkeit zur Sicherheitsschulung. Sie erfordert ausdrücklich schriftliche Autorisierung und ist für autorisierte Sicherheitstest-Experten konzipiert.
Welche Tools verwendet diese Fähigkeit?
Die Fähigkeit bezieht sich auf gängige Sicherheitstest-Tools wie Burp Suite, Hydra und benutzerdefinierte Wortlisten. Dies sind Standardtools, die von professionellen Penetrationstestern verwendet werden.
Benötige ich besondere Berechtigungen, um diese Fähigkeit zu verwenden?
Ja, Sie müssen über ausdrückliche schriftliche Autorisierung des Systembesitzers vor dem Testen verfügen. Dies ist eine gesetzliche Anforderung für legitimes Sicherheitstesten.
Kann diese Fähigkeit jede Website testen?
Nein. Sie dürfen nur Systeme testen, die Sie besitzen oder für die Sie ausdrückliche Autorisierung zum Testen haben. Unautorisierter Zugriff ist illegal und unethisch.
Welche Authentifizierungsmethoden können getestet werden?
Die Fähigkeit umfasst passwortbasierte Authentifizierung, tokenbasierte Authentifizierung (JWT, OAuth), Sitzungsmanagement, Multi-Faktor-Authentifizierung und Passwort-Zurücksetz-Abläufe.
Wie lange dauert eine typische Bewertung?
Die Bewertungszeit variiert je nach Anwendungskomplexität. Eine gründliche Authentifizierungsprüfung dauert typischerweise 2-8 Stunden, abhängig vom Umfang und der Testtiefe.

Entwicklerdetails

Autor

sickn33

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/broken-authentication

Ref

main

Dateistruktur

📄 SKILL.md