Fähigkeiten top-web-vulnerabilities
🔒

top-web-vulnerabilities

Sicher

Webanwendungssicherheits-Schwachstellen meistern

Lernen Sie, die 100 wichtigsten Web-Schwachstellen zu identifizieren und zu beheben. Dieser systematische Leitfaden hilft Entwicklern und Sicherheitsprofis, Angriffsvektoren zu verstehen und angemessene Schutzmaßnahmen zu implementieren.

Unterstützt: Claude Codex Code(CC)
📊 70 Angemessen
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "top-web-vulnerabilities". Was ist Command Injection und wie verhindere ich es?

Erwartetes Ergebnis:

Command Injection (#5, #11) tritt auf, wenn unsanierte Benutzereingaben an System-Shells übergeben werden, was die Ausführung beliebiger Befehle ermöglicht. Auswirkung: Vollständige Systemkompromittierung, Datenexfiltration, laterale Bewegung. Sanierung: Vermeiden Sie Shell-Ausführung ganz, verwenden Sie Whitelists für gültige Befehle, implementieren Sie strikte Eingabevalidierung, verwenden Sie parametrisierte APIs anstelle von Shell-Befehlen.

Verwendung von "top-web-vulnerabilities". Listen Sie die authentifizierungsbezogenen Schwachstellen auf, die ich in meiner Webanwendung testen sollte.

Erwartetes Ergebnis:

Wichtige Authentifizierungs-Schwachstellen zum Testen: Session Fixation (#14) - Verifizieren Sie, dass Session-IDs nach dem Login neu generiert werden. Brute Force (#15) - Überprüfen Sie Rate-Limiting und Sperrrichtlinien. Session Hijacking (#16) - Validieren Sie Token-Zufälligkeit und HTTPS-Verwendung. Credential Stuffing (#22) - Testen auf Verletzungspasswort-Prüfungen. Unsichere "Remember Me" (#85) - Analysieren Sie Token-Stärke und Ablauf. CAPTCHA-Bypass (#86) - Verifizieren Sie die Wirksamkeit der Bot-Erkennung.

Verwendung von "top-web-vulnerabilities". Welche Security-Header sollte jede Webanwendung implementieren?

Erwartetes Ergebnis:

Kritische Security-Header aus dem Referenzmaterial: Content-Security-Policy (beschränkt Ressourcenquellen), X-Content-Type-Options nosniff (verhindert MIME-Sniffing), X-Frame-Options DENY (blockiert Clickjacking), X-XSS-Protection (aktiviert browser-XSS-Filtering), Strict-Transport-Security (erzwingt HTTPS), Referrer-Policy (steuert Referrer-Informationen), Permissions-Policy (beschränkt Browser-Funktionen).

Sicherheitsaudit

Sicher
v1 • 2/25/2026

All 33 static analysis findings are false positives. The skill is educational documentation describing vulnerabilities and security concepts, not implementing them. Detected patterns (weak crypto, reconnaissance, external commands) appear in vulnerability descriptions and mitigation examples as teaching content. The skill provides defensive security guidance with no executable code.

1
Gescannte Dateien
549
Analysierte Zeilen
0
befunde
1
Gesamtzahl Audits
Keine Sicherheitsprobleme gefunden
Auditiert von: claude

Qualitätsbewertung

38
Architektur
90
Wartbarkeit
87
Inhalt
32
Community
100
Sicherheit
96
Spezifikationskonformität

Was du bauen kannst

Vorbereitung auf Sicherheitsaudits

Überprüfen Sie Schwachstellenkategorien und erstellen Sie umfassende Test-Checklisten vor der Durchführung von Penetrationstests oder Sicherheitsaudits.

Sicherer Code-Review

Referenzieren Sie spezifische Schwachstellenmuster beim Überprüfen von Code, um potenzielle Sicherheitslücken während der Entwicklung zu identifizieren.

Unterstützung bei Threat Modeling

Verwenden Sie Schwachstellenkategorien, um während der Anwendungsentwicklung und -architektur systematisch Angriffsvektoren zu identifizieren.

Probiere diese Prompts

Schwachstellentyp identifizieren 
Ich habe ein Sicherheitsproblem gefunden, bei dem Benutzereingaben nicht validiert werden, bevor sie in einer Datenbankabfrage verwendet werden. Um welchen Schwachstellentyp handelt es sich, und welche sind die Risiken und Maßnahmen?
Testfälle generieren 
Für ein Login-Formular: Welche authentifizierungsbezogenen Schwachstellen aus dem Referenzmaterial sollte ich testen? Listen Sie spezifische Angriffsvektoren zur Verifikation auf.
Sanierungshilfe 
Unsere Anwendung speichert Benutzerpasswörter ohne Hashing. Um welche Schwachstelle handelt es sich? Erklären Sie die Angriffsszenarien und bieten Sie schrittweise Sanierungsstrategien.
Umfassende Bewertung 
Überprüfen Sie unsere E-Commerce-Anwendung auf API-Sicherheits-Schwachstellen. Prüfen Sie die Probleme #48-51 und #75 aus dem Referenzmaterial. Berichten Sie die Ergebnisse mit Risikostufen und Sanierungsschritten.

Bewährte Verfahren

  • Verwenden Sie immer parametrisierte Abfragen und Prepared Statements, um Injections-Angriffe zu verhindern
  • Implementieren Sie Defense in Depth mit mehreren Sicherheitskontrollen einschließlich WAF, Eingabevalidierung und Output-Encoding
  • Halten Sie Abhängigkeiten und Systeme mit einem formalen Schwachstellenmanagement-Programm gepatcht
  • Erzwingen Sie starke Authentifizierung mit MFA, sicherem Session-Management und ordnungsgemäßen Autorisierungsprüfungen

Vermeiden

  • Sich ausschließlich auf automatisierte Scanner verlassen ohne manuelle Verifikation und Geschäftslogik-Tests
  • Sicherheitskontrollen inkonsistent über verschiedene Anwendungskomponenten oder Umgebungen hinweg anwenden
  • Sicherheit als einmalige Bewertung behandeln anstatt kontinuierliche Integration in den Entwicklungslebenszyklus
  • Annehmen, dass clientseitige Validierung ausreichend ist ohne serverseitige Durchsetzung

Häufig gestellte Fragen

Scannt dieser Skill meine Anwendung auf Schwachstellen?
Nein, dies ist ein Referenzleitfaden, der Ihnen hilft, Schwachstellen und manuelle Testtechniken zu verstehen. Er führt keine automatisierten Scans oder Sicherheitstests durch.
Wie aktuell sind die Schwachstelleninformationen?
Das Referenzmaterial deckt etablierte Schwachstellentypen ab, die mit OWASP und Industriestandards ausgerichtet sind. Neue Schwachstellen entstehen regelmäßig, verwenden Sie dies als Grundlage und ergänzen Sie es mit aktueller Threat Intelligence.
Kann dieser Skill professionelles Security-Testing ersetzen?
Nein. Dieses Referenzmaterial unterstützt Sicherheitsbewusstsein und Testvorbereitung, ersetzt aber nicht umfassende Penetrationstests, Code-Review durch Sicherheitsexperten oder formale Sicherheitsbewertungen.
Was ist der Unterschied zwischen den Schwachstellen #98-100?
#98-99 beziehen sich auf ungepatchte bekannte Schwachstellen, die Angreifer öffentlich bekannte Fehler ausnutzen. #100 stellt Zero-Day-Exploits dar, also unbekannte Schwachstellen ohne verfügbaren Patch, die Defense-in-Depth-Strategien erfordern.
Sollte ich alle 100 Schwachstellen testen?
Konzentrieren Sie sich auf Schwachstellen, die für Ihren Technologie-Stack und Ihre Anwendungsfunktionen relevant sind. Verwenden Sie die Kategoriestruktur, um Tests basierend auf Ihrem Threat Model und Ihrer Risikobewertung zu priorisieren.
Wie verifiziere ich, ob eine Schwachstelle tatsächlich ausnutzbar ist?
Verwenden Sie die Tabelle der Verifikationstechniken im Referenzmaterial. Jeder Schwachstellentyp hat spezifische Testansätze wie Payload-Varianten für Injections, Out-of-Band-Callbacks für SSRF oder Privilegientests für Zugriffskontrolle-Probleme.

Entwicklerdetails

Autor

zebbern

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/top-web-vulnerabilities

Ref

main

Dateistruktur

📄 SKILL.md