技能 senior-security
🛡️

senior-security

低風險 ⚙️ 外部命令📁 檔案系統存取

Kit de Ingeniería de Seguridad Senior

也可從以下取得: davila7

Esta habilidad proporciona capacidades integrales de ingeniería de seguridad para seguridad de aplicaciones, modelado de amenazas y auditoría de cumplimiento. Ayuda a los profesionales de seguridad a diseñar arquitecturas seguras, implementar criptografía adecuada y automatizar evaluaciones de seguridad en múltiples tecnológicas.

支援: Claude Codex Code(CC)
🥈 77 白銀
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「senior-security」。 Analyze my React application for security vulnerabilities

預期結果:

  • Resultados de Auditoría de Seguridad:
  • - Crítico: Potencial XSS en renderizado de entrada de usuario (Component.js:45)
  • - Alto: Autenticación faltante en endpoints de API (routes.js:12)
  • - Medio: Configuración CORS insegura que permite todos los orígenes
  • Recomendaciones:
  • 1. Sanitizar todas las entradas de usuario antes de renderizar
  • 2. Implementar autenticación basada en JWT para rutas de API
  • 3. Restringir CORS a orígenes específicos permitidos

正在使用「senior-security」。 Design authentication for my mobile banking app

預期結果:

  • Arquitectura de Autenticación:
  • 1. OAuth 2.0 con flujo PKCE para clientes móviles
  • 2. Tokens de acceso JWT (15 min de expiración) con tokens de actualización (7 días)
  • 3. Almacenamiento seguro de tokens usando iOS Keychain y Android Keystore
  • 4. Autenticación biométrica (Face ID, Touch ID) para desbloqueo de aplicación
  • 5. Certificate pinning para comunicaciones de API

正在使用「senior-security」。 Create a threat model for my payment processing service

預期結果:

  • Resumen del Modelo de Amenazas:
  • Activos: Datos de tarjetas de pago, PII de clientes, registros de transacciones
  • Actores de Amenazas: Atacantes externos, internos maliciosos
  • Vectores de Ataque: Inyección API, hombre en el medio, robo de credenciales
  • Controles de Seguridad: TLS 1.3, tokenización, MFA, registro SIEM

安全審計

低風險
v3 • 1/16/2026

After manual evaluation, all 115 static findings are FALSE POSITIVES. The static scanner detected markdown code block syntax (```) as shell backticks, security terminology in educational documentation as exploits, and standard Python file I/O for report generation. The skill contains skeleton scripts and reference documentation for defensive security practices only. No malicious code, actual exploits, or harmful functionality exists.

9
已掃描檔案
2,131
分析行數
2
發現項
3
審計總數

風險因素

⚙️ 外部命令 (6)
SKILL.md:16-25 SKILL.md:40-42 SKILL.md:55-57 references/cryptography_implementation.md:20-25 references/penetration_testing_guide.md:20-25 references/security_architecture_patterns.md:20-25
📁 檔案系統存取 (3)
scripts/security_auditor.py:107 scripts/threat_modeler.py:107 scripts/pentest_automator.py:107
審計者: claude 查看審計歷史 →

品質評分

68
架構
100
可維護性
87
內容
31
社群
90
安全
91
規範符合性

你能建構什麼

Evaluación de Seguridad de Aplicaciones

Realizar auditorías de seguridad integrales de aplicaciones web, APIs y aplicaciones móviles para identificar y remediar vulnerabilidades.

Modelado de Amenazas para Proyectos

Crear modelos de amenazas automatizados para nuevos proyectos de software identificando activos, amenazas y controles de seguridad.

Diseño de Arquitectura Segura

Diseñar arquitecturas de sistemas seguras siguiendo principios de confianza cero, defensa en profundidad y patrones de privilegio mínimo.

試試這些提示

Auditoría de Seguridad 
Use el auditor de seguridad para analizar la base de código en [path]. Ejecute el análisis y proporcione un informe detallado de los hallazgos de seguridad de severidad crítica y alta con recomendaciones de remediación.
Crear Modelo de Amenazas 
Cree un modelo de amenazas para [project name]. Identifique activos, actores de amenazas, vectores de ataque y recomiende controles de seguridad apropiados siguiendo la metodología STRIDE.
Diseñar Arquitectura de Seguridad 
Diseñe una arquitectura segura para [system description] siguiendo los patrones de referencia de arquitectura de seguridad. Incluya autenticación, autorización, validación de entrada y registro de auditoría.
Implementar Criptografía 
Implemente encriptación segura para [data type] usando algoritmos estándar de la industria. Use AES-256-GCM para encriptación simétrica y RSA-2048 o superior para encriptación asimétrica con gestión adecuada de claves.

最佳實務

  • Validar y sanitizar todas las entradas de usuario para prevenir ataques de inyección como SQL injection y XSS
  • Usar consultas parametrizadas o frameworks ORM para todas las operaciones de base de datos
  • Almacenar contraseñas usando algoritmos de hash fuertes como bcrypt o Argon2 con sales únicas
  • Implementar HTTPS/TLS para todas las comunicaciones de red y usar certificate pinning en aplicaciones móviles
  • Seguir el principio de privilegio mínimo para permisos de usuario y acceso de cuentas de servicio

避免

  • Hardcodear credenciales, claves de API o secretos directamente en el código fuente
  • Usar algoritmos criptográficos débiles o obsoletos como MD5, SHA1 o DES
  • Confiar en la entrada de usuario sin validación o sanitización
  • Implementar criptografía personalizada en lugar de usar bibliotecas establecidas

常見問題

¿Cómo ejecuto una auditoría de seguridad en mi base de código?
Ejecute 'python scripts/security_auditor.py <target-path> --verbose' para analizar el directorio objetivo. El script realiza análisis y genera un informe con hallazgos de seguridad.
¿Qué permisos se necesitan para pruebas de penetración?
Debe tener autorización escrita explícita antes de realizar cualquier prueba de penetración. Use esta habilidad solo en sistemas que usted posee o tiene el alcance legal adecuado para probar.
¿Qué algoritmos criptográficos debo usar?
Use AES-256-GCM para encriptación simétrica, RSA-2048 o superior para encriptación asimétrica, SHA-256 para hash y bcrypt para almacenamiento de contraseñas.
¿Cómo creo un modelo de amenazas?
Ejecute 'python scripts/threat_modeler.py <project-path>' para generar un modelo de amenazas. La herramienta identifica activos, amenazas y recomienda controles de seguridad.
¿Qué lenguajes de programación se soportan?
Esta habilidad soporta TypeScript, JavaScript, Python, Go, Swift y Kotlin. Cubre frameworks como React, Node.js, Express y bases de datos como PostgreSQL.
¿Con qué frecuencia se deben realizar auditorías de seguridad?
Ejecute auditorías automatizadas en cada confirmación de código o solicitud de extracción. Realice auditorías manuales integrales trimestralmente y después de adiciones majeures de funcionalidades.

開發者詳情

授權

MIT

儲存庫

https://github.com/alirezarezvani/claude-skills/tree/main/engineering-team/senior-security

引用

main

檔案結構

📁 references/

📄 cryptography_implementation.md

📄 penetration_testing_guide.md

📄 security_architecture_patterns.md

📁 scripts/

📄 pentest_automator.py

📄 security_auditor.py

📄 threat_modeler.py

📄 evaluation_output.json

📄 SKILL.md