技能 laravel-security-audit
🛡️

laravel-security-audit

安全

Laravel-Apps auf Sicherheitslücken überprüfen

Laravel-Entwickler müssen sicherstellen, dass ihre Anwendungen bewährte Sicherheitspraktiken befolgen. Diese Fähigkeit bietet umfassende Sicherheitsaudits anhand von OWASP-Standards und Laravel-spezifischem Sicherheitswissen.

支持: Claude Codex Code(CC)
🥉 74 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“laravel-security-audit”。 Review a Laravel controller that fetches user posts by ID

预期结果:

  • Issue: Missing Authorization Check
  • Risk: High
  • Problem: The controller fetches a post by ID without verifying ownership or user permissions.
  • Exploit: An authenticated user can access another user's post by changing the ID parameter.
  • Fix: Add policy check or scope the query to the authenticated user's posts.
  • Example: Post::where('user_id', auth()->id())->findOrFail($id)

正在使用“laravel-security-audit”。 Review file upload validation logic

预期结果:

  • Issue: Insufficient File Type Validation
  • Risk: Medium
  • Problem: Only file extension is checked, MIME type validation is missing.
  • Exploit: Attacker could upload a PHP file disguised as an image.
  • Fix: Use Laravel's mimeTypes validation rule and store outside public directory.
  • Example: $request->file('avatar')->validate(['mimes:jpg,png', 'max:2048'])

安全审计

安全
v1 • 2/25/2026

All static analysis findings are false positives. This is an educational/documentation skill containing prompt instructions for security auditing, not executable code. The detected patterns (external_commands, network, env_access) are references to security concepts being taught, not actual vulnerable code. No security risks identified.

1
已扫描文件
224
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
100
安全
91
规范符合性

你能构建什么

Sicherheitsüberprüfung vor dem Deployment

Überprüfe Laravel-Anwendungscode vor dem Deployment in die Produktion, um Sicherheitslücken zu identifizieren.

Unterstützung bei Code Reviews

Integriere Sicherheitsanalyse in Pull-Request-Reviews, um Schwachstellen frühzeitig zu erkennen.

Legacy-Code-Audit

Bewerte bestehende Laravel-Anwendungen auf Sicherheitsrückstände und Fehlkonfigurationen.

试试这些提示

Einfache Sicherheitsprüfung 
Review this Laravel controller for security vulnerabilities. Check for proper authorization, input validation, and common OWASP issues.
Umfassendes Anwendungs-Audit 
Perform a comprehensive security audit of this Laravel application. Analyze authentication, authorization, input validation, database queries, file uploads, and API security. Classify each finding by risk level.
Überprüfung des Authentifizierungsablaufs 
Audit the authentication implementation in this Laravel application. Check password hashing, session management, token handling, and Sanctum/JWT configuration for security issues.
API-Sicherheitsbewertung 
Evaluate the API endpoints in this Laravel application for security vulnerabilities. Check rate limiting, authorization, input validation, response sanitization, and mass assignment protection.

最佳实践

  • Verwende immer FormRequest-Klassen für Eingabevalidierung und Autorisierung
  • Wende das Prinzip der geringsten Rechte für Datenbank- und Dateisystemzugriff an
  • Aktiviere Rate Limiting auf allen öffentlichen API-Endpunkten, um Missbrauch zu verhindern

避免

  • Verwendung von request()->all() ohne Validierung bei create- oder update-Operationen
  • Autorisierungsprüfung nur in Controllern ohne Policy-Durchsetzung
  • Speicherung hochgeladener Dateien in öffentlich zugänglichen Verzeichnissen ohne Validierung

常见问题

Welche Laravel-Versionen unterstützt diese Fähigkeit?
Diese Fähigkeit wurde für Laravel 10 und 11+-Anwendungen entwickelt, kann aber ältere Versionen mit Kenntnis versionspezifischer Sicherheitsfeatures auditierten.
Kann diese Fähigkeit meine gesamte Codebasis automatisch scannen?
Die Fähigkeit analysiert von dir bereitgestellte Codedateien. Für große Codebasen stelle Schlüsseldateien wie Controller, Modelle und Middleware für eine gezielte Sicherheitsüberprüfung bereit.
Ersetzt dies Penetration Testing?
Nein. Diese Fähigkeit bietet statische Codeanalyse und Sicherheitsberatung. Sie ergänzt, ersetzt aber kein professionelles Penetration Testing oder dynamische Sicherheits-Scans.
Welche OWASP-Kategorien deckt dies ab?
Die Abdeckung umfasst Injection, Broken Authentication, Sensitive Data Exposure, XML External Entities, Broken Access Control, Security Misconfiguration, XSS, Insecure Deserialization und Known Vulnerabilities.
Kann diese Fähigkeit Sicherheitslücken automatisch beheben?
Die Fähigkeit identifiziert Schwachstellen und bietet sicheren Code als Beispiele. Du musst die empfohlenen Fixes manuell überprüfen und in deiner Codebasis implementieren.
Wird mein Code geteilt oder gespeichert, wenn ich diese Fähigkeit verwende?
Die Codeanalyse erfolgt innerhalb deiner Sitzung. Vermeide jedoch das Teilen sensibler Anmeldedaten, API-Schlüssel oder Produktions-Geheimnisse in Code-Snippets.

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/laravel-security-audit

引用

main

文件结构

📄 SKILL.md