Fähigkeiten html-injection-testing
🛡️

html-injection-testing

Niedriges Risiko ⚡ Enthält Skripte⚙️ Externe Befehle🌐 Netzwerkzugriff

Test auf HTML-Injection-Schwachstellen

Webanwendungen versäumen häufig, Benutzereingaben ordnungsgemäß zu bereinigen, wodurch Angreifer bösartige HTML-Inhalte einschleusen können. Diese Fähigkeit bietet eine umfassende Methodik zur Identifizierung von HTML-Injection-Schwachstellen durch autorisierte Sicherheitstests.

Unterstützt: Claude Codex Code(CC)
⚠️ 66 Schlecht
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "html-injection-testing". Suchparameter auf HTML-Injection testen

Erwartetes Ergebnis:

  • Phase 1: Injection-Punkt bei /search?q= Parameter identifiziert
  • Phase 2: Ergebnisse des grundlegenden Payload-Tests: <h1>Test</h1> wird als Überschrift gerendert - ANFÄLLIG
  • Phase 3: Gespeicherte Injection bestätigt - Payload bleibt nach Neuladen der Seite bestehen
  • Empfehlung: Ausgabe-Kodierung mit htmlspecialchars() oder DOMPurify implementieren

Verwendung von "html-injection-testing". Welche Phishing-Payloads können das HTML-Injection-Risiko demonstrieren?

Erwartetes Ergebnis:

  • Demonstrations-Payload: Overlay-Formular zur Erfassung von Anmeldedaten
  • Auswirkung: Angreifer kann Benutzeranmeldedaten über gefälschtes Login-Formular ernten
  • Schweregrad: Mittel bis Hoch, abhängig vom Authentifizierungswert
  • Remediation: Strenge Eingabevalidierung und CSP-Header

Sicherheitsaudit

Niedriges Risiko
v1 • 2/25/2026

This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.

1
Gescannte Dateien
504
Analysierte Zeilen
7
befunde
1
Gesamtzahl Audits
Probleme mit mittlerem Risiko (2)
SKILL.md:429SKILL.md:433
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
SKILL.md:44-472
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
Probleme mit niedrigem Risiko (2)
SKILL.md:119-382
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
SKILL.md:314-339
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.

Risikofaktoren

⚡ Enthält Skripte (2)
SKILL.md:429 SKILL.md:433
⚙️ Externe Befehle (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 Netzwerkzugriff (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382

Erkannte Muster

False Positive: Windows SAM Database DetectionEducational Code Examples
Auditiert von: claude

Qualitätsbewertung

38
Architektur
100
Wartbarkeit
87
Inhalt
21
Community
76
Sicherheit
96
Spezifikationskonformität

Was du bauen kannst

Sicherheitsberater bewertet Client-Webanwendungen

Ein Penetrationstester führt eine autorisierte Sicherheitsbewertung für einen Kunden durch und muss HTML-Injection-Schwachstellen in dessen Webanwendungen identifizieren und einen umfassenden Bericht mit Remediation-Schritten erstellen.

Entwickler erlernt Web-Sicherheit

Ein Webentwickler möchte HTML-Injection-Schwachstellen verstehen, um sichereren Code zu schreiben und Benutzereingaben in seinen Anwendungen ordnungsgemäß zu validieren.

QA-Ingenieur testet Eingabeverarbeitung

Ein QA-Ingenieur muss verifizieren, dass die Eingabeverarbeitung der Anwendung HTML-Inhalte ordnungsgemäß bereinigt und Injection-Angriffe verhindert.

Probiere diese Prompts

Grundlegender HTML-Injection-Test 
Verwenden Sie die html-injection-testing Fähigkeit, um mir zu helfen zu testen, ob die Suchfunktion unserer Anwendung anfällig für HTML-Injection ist. Der Suchparameter ist 'q' und die URL lautet http://example.com/search
Stored-Injection-Bewertung 
Helfen Sie mir, mit der html-injection-testing Fähigkeit auf gespeicherte HTML-Injection im Benutzerprofil-Bio-Feld zu testen. Welche Test-Payloads sollte ich verwenden und wie verifiziere ich, ob die Injection gespeichert wird?
Filter-Umgehungstest 
Unsere Anwendung behauptet, HTML-Tags zu filtern. Welche Kodierungs- und Umgehungstechniken sollte ich mit der html-injection-testing Fähigkeit testen, um zu verifizieren, ob der Filter umgangen werden kann?
Remediation-Verifizierung 
Wie kann ich nach der Implementierung der Eingabebereinigung die html-injection-testing Fähigkeit verwenden, um zu verifizieren, dass die Remediation wirksam ist und keine HTML-Injection-Vektoren mehr vorhanden sind?

Bewährte Verfahren

  • Vor dem Testen einer Webanwendung immer eine schriftliche Autorisierung einholen
  • Alle Erkenntnisse mit Proof-of-Concept-Screenshots und Request/Response-Paaren dokumentieren
  • Sowohl GET- als auch POST-Parameter testen, einschließlich versteckter Felder und Cookies
  • Remediation-Empfehlungen im Bericht aufnehmen, um Entwicklern bei der Behebung von Problemen zu helfen

Vermeiden

  • Testen von Produktionssystemen ohne explizite Autorisierung
  • Verwendung entdeckter Schwachstellen zum Zugriff auf oder zur Exfiltration von Daten
  • Fokus nur auf automatisierte Tools ohne manuelle Verifizierung
  • Meldung von Erkenntnissen ohne Bereitstellung klarer Reproduktionsschritte

Häufig gestellte Fragen

Was ist der Unterschied zwischen HTML-Injection und XSS?
HTML-Injection ermöglicht Angreifern, bösartige HTML-Inhalte in Webseiten einzuschleusen und beeinflusst nur das Erscheinungsbild der Seite. XSS (Cross-Site Scripting) ermöglicht die Ausführung von JavaScript-Code, was schwerwiegender ist, da es Cookies, Session-Tokens stehlen oder Aktionen im Namen des Benutzers ausführen kann.
Kann HTML-Injection zur Kompromittierung von Konten führen?
Ja, durch Phishing-Angriffe. Angreifer können gefälschte Login-Formulare einschleusen, die legitim erscheinen und Benutzeranmeldedaten bei der Übermittlung erfassen.
Welche Tools werden für HTML-Injection-Tests empfohlen?
Burp Suite, OWASP ZAP und manuelles Testen mit curl sind die primären Tools. Automatisierte Scanner können grundlegende Injection-Punkte finden, aber für komplexe Szenarien ist manuelles Testen erforderlich.
Wie verhindere ich HTML-Injection in meiner Webanwendung?
Verwenden Sie Ausgabe-Kodierung (htmlspecialchars in PHP, escape in Python), implementieren Sie Content Security Policy-Header, validieren Sie Eingaben gegen Allowlists und verwenden Sie moderne Frameworks, die standardmäßig Auto-Escape durchführen.
Ist das Testen auf localhost ethisch vertretbar?
Das Testen auf eigenen Systemen oder Systemen, die Ihnen gehören, ist in der Regel akzeptabel. Stellen Sie immer sicher, dass Sie eine explizite schriftliche Autorisierung für jedes System haben, das Ihnen nicht gehört.
Was ist der typische Schweregrad von HTML-Injection?
HTML-Injection hat typischerweise einen mittleren Schweregrad, da es JavaScript nicht direkt ausführen kann. In Kombination mit Phishing oder Defacement kann die Auswirkung jedoch hoch sein, insbesondere auf Seiten mit Benutzerauthentifizierung.

Entwicklerdetails

Autor

sickn33

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/html-injection-testing

Ref

main

Dateistruktur

📄 SKILL.md