Fähigkeiten web-security-testing

🛡️

web-security-testing

Name: web-security-testing
Author: sickn33

Sicher

Testen von Web-Apps auf OWASP Top 10 Schwachstellen

Dieser Workflow führt Sie durch umfassendes Sicherheitstesting von Webanwendungen nach der OWASP Top 10 Methodik, von der Reconnaissance bis zur Berichterstellung.

Unterstützt: Claude Codex Code(CC)

⚠️ 68 Schlecht

Die Skill-ZIP herunterladen

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

Einschalten und loslegen

Teste es

Verwendung von "web-security-testing". Use @web-security-testing to test my web application at https://example.com

Erwartetes Ergebnis:

Starting Phase 1: Reconnaissance
- Mapping application surface
- Identifying technologies used
- Discovering endpoints
- Finding subdomains
- Documenting initial findings
Ready to proceed to Phase 2: Injection Testing

Verwendung von "web-security-testing". We are in Phase 3 of @web-security-testing. Test for XSS in the search feature.

Erwartetes Ergebnis:

Phase 3: XSS Testing
Testing vectors: reflected, stored, DOM-based
Test cases to execute:
- <script>alert(1)</script>
- <img src=x onerror=alert(1)>
- <svg onload=alert(1)>
Document all successful bypasses with proof of concept

Sicherheitsaudit

Sicher

v1 • 2/25/2026

Static analysis flagged 33 potential issues (31 external_commands, 2 weak cryptographic algorithms). After evaluation, all findings are FALSE POSITIVES. The external_commands detections are markdown code formatting (backticks) used for skill references like @scanning-tools, not actual shell execution. The cryptographic flags are false positives from keywords in the OWASP checklist. This is a legitimate security testing workflow with no malicious code.

Gescannte Dateien

185

Analysierte Zeilen

befunde

Gesamtzahl Audits

Probleme mit hohem Risiko (1)

SKILL.md:3 SKILL.md:164

Weak Cryptographic Algorithm Detection

Scanner flagged lines 3 and 164 for weak cryptographic algorithm. Line 3 is YAML frontmatter description. Line 164 is OWASP category 'A04: Insecure Design'. No cryptographic code present.

Probleme mit mittlerem Risiko (1)

SKILL.md:31-32 SKILL.md:42-44 SKILL.md:49-50 SKILL.md:60-66 SKILL.md:71-72 SKILL.md:82-84 SKILL.md:89-101 SKILL.md:106-107 SKILL.md:117-123 SKILL.md:128-140 SKILL.md:145-157 SKILL.md:182-183

External Commands Detection

Scanner flagged 31 instances of 'Ruby/shell backtick execution' at various lines. These are markdown inline code formatting (backticks) used for skill references like `@scanning-tools`, not shell commands.

Auditiert von: claude

Qualitätsbewertung

Architektur

100

Wartbarkeit

Inhalt

Community

Sicherheit

Spezifikationskonformität

Was du bauen kannst

Umfassende Sicherheitsbewertung

Führen Sie ein vollständiges Security-Audit einer Webanwendung nach strukturierter OWASP Top 10 Methodik mit detailliertem phasenweisem Testing durch.

Bug Bounty Reconnaissance

Nutzen Sie den Workflow für Bug Bounty Hunting, um Zielanwendungen systematisch und strukturiert auf Schwachstellen zu testen.

Sicherheitsvalidierung

Validieren Sie, dass Sicherheitskontrollen in einer Webanwendung vor dem Produktiv-Deployment ordnungsgemäß implementiert sind.

Probiere diese Prompts

Sicherheitstest starten

Use @web-security-testing to test my web application for security vulnerabilities. Target: [URL]

Auf Injection testen

We are in Phase 2 of @web-security-testing. Test for SQL injection on the login form at [URL] with parameter [param]

XSS-Bewertung

Following Phase 3 of @web-security-testing, test for XSS vulnerabilities in the comment section at [URL]

Vollständiger Sicherheitsbericht

We have completed all phases of @web-security-testing. Generate a security report summarizing findings and remediation steps.

Bewährte Verfahren

Holen Sie immer eine ordnungsgemäße Autorisierung ein, bevor Sie eine Anwendung testen
Befolgen Sie die Workflow-Phasen in der richtigen Reihenfolge für umfassende Abdeckung
Dokumentieren Sie alle Funde mit Proof of Concept für jede Schwachstelle
Rufen Sie referenzierte Skills für spezialisiertes Testing in jeder Phase auf

Vermeiden

Phasen überspringen - jede Phase baut auf vorheriger Reconnaissance auf
Testing in Produktion ohne Autorisierung
Funde nicht mit Reproduktionsschritten dokumentieren
Schwachstellen mit geringer Schwere ohne ordnungsgemäße Risikobewertung ignorieren

Häufig gestellte Fragen

Führt dieser Skill tatsächliche Exploits aus?

Nein. Dies ist ein Workflow-Guidance-Skill, der Testmethodik und Prompts bereitstellt. Er führt keine Exploits aus und führt keine Tools direkt aus.

Brauche ich andere Skills, um diesen Workflow zu verwenden?

Ja. Dieser Workflow referenziert andere Skills wie @scanning-tools, @sql-injection-testing, @xss-html-injection und @broken-authentication für spezifische Testphasen.

Ist dies für Produktiv-Testing geeignet?

Nur mit ordnungsgemäßer schriftlicher Autorisierung. Stellen Sie immer sicher, dass Sie eine ausdrückliche Genehmigung haben, bevor Sie eine Webanwendung testen.

Welche OWASP-Kategorien sind abgedeckt?

Alle OWASP Top 10 2021 Kategorien sind abgedeckt, einschließlich Injection, Broken Authentication, Sensitive Data Exposure, XML External Entities, Broken Access Control, Security Misconfiguration, Cross-Site Scripting, Insecure Deserialization, Using Vulnerable Components und Insufficient Logging.

Kann ich diesen Workflow anpassen?

Ja. Die Workflow-Phasen können basierend auf Ihrer Zielanwendung und Ihrem Scope angepasst werden. Fügen Sie Phasen hinzu oder ändern Sie sie nach Bedarf für Ihre Bewertung.

Welches Ausgabeformat sollte ich für Berichte verwenden?

Folgen Sie der Berichtsphasen-Anleitung, um Schwachstellen mit Schweregrad, Proof of Concept und Behebungsschritten zu dokumentieren. Verwenden Sie branchenübliche Formate.

Entwicklerdetails

Autor

sickn33

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/web-security-testing

Ref

main

Dateistruktur

📄 SKILL.md