Habilidades broken-authentication
🔐

broken-authentication

Seguro

Prueba de Seguridad de Autenticación

Identificar vulnerabilidades de autenticación rotas en aplicaciones web utilizando metodologías de prueba sistemáticas. Esta habilidad guía a los profesionales de seguridad a través de la evaluación de políticas de contraseñas, pruebas de gestión de sesiones y análisis de relleno de credenciales.

Soporta: Claude Codex Code(CC)
🥉 73 Bronce
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "broken-authentication". ¿Cómo pruebo si nuestra aplicación es vulnerable al relleno de credenciales?

Resultado esperado:

  • La prueba de relleno de credenciales implica usar pares nombre de usuario:contraseña conocidos como comprometidos para probar si los usuarios reutilizan contraseñas. Pasos clave:
  • 1. Obtener listas de credenciales legítimas (Have I Been Pwned)
  • 2. Usar herramientas automatizadas con pares coincidentes de email:contraseña
  • 3. Implementar tasas de solicitud lentas para evitar detección
  • 4. Probar múltiples cuentas para identificar usuarios afectados
  • Importante: Solo probar con autorización y tus propias cuentas de prueba

Usando "broken-authentication". ¿Qué hace que un token de sesión sea inseguro?

Resultado esperado:

  • Los tokens de sesión inseguros a menudo exhiben:
  • - Baja entropía (patrones predecibles)
  • - Longitud insuficiente (menos de 128 bits)
  • - Contiene datos sensibles (IDs de usuario, timestamps)
  • - Faltan flags de seguridad (HttpOnly, Secure, SameSite)
  • - Sin validación del lado del servidor
  • Prueba recopilando múltiples tokens y analizando patrones

Auditoría de seguridad

Seguro
v1 • 2/25/2026

This is a legitimate security education skill for testing authentication vulnerabilities. All static findings are false positives - the skill contains documentation and examples showing testing methodologies, not malicious code. The skill explicitly requires written authorization and is designed for authorized security testing professionals.

1
Archivos escaneados
482
Líneas analizadas
0
hallazgos
1
Auditorías totales
No se encontraron problemas de seguridad
Auditado por: claude

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
87
Contenido
50
Comunidad
100
Seguridad
83
Cumplimiento de la especificación

Lo que puedes crear

Evaluación de Seguridad Pre-despliegue

Probar mecanismos de autenticación en entornos de staging antes del lanzamiento a producción para identificar vulnerabilidades

Pruebas de Equipo Rojo

Evaluar la seguridad de autenticación del cliente como parte de pruebas de penetración autorizadas

Capacitación y Educación en Seguridad

Aprender metodologías de prueba de vulnerabilidades de autenticación para desarrollo profesional

Prueba estos prompts

Prueba Básica de Política de Contraseñas 
Ayúdame a probar la política de contraseñas de nuestro sistema de inicio de sesión. ¿Qué requisitos de contraseña debo verificar y cómo puedo identificar debilidades en la aplicación de la política?
Análisis de Tokens de Sesión 
Necesito analizar tokens de sesión de nuestra aplicación. ¿Qué características debo buscar para determinar si los tokens de sesión son seguros? ¿Cómo pruebo la predecibilidad?
Prueba de Bloqueo de Cuenta 
Guíame a través de las pruebas de mecanismos de bloqueo de cuentas. ¿Cuáles son los pasos de prueba para verificar que el bloqueo funciona correctamente y qué técnicas de evasión debo verificar?
Revisión de Implementación MFA 
¿Qué verificaciones de seguridad debo realizar al probar la implementación de autenticación multifactor? ¿Cómo identifico vulnerabilidades comunes de evasión de MFA?

Mejores prácticas

  • Obtener siempre autorización por escrito antes de probar cualquier sistema
  • Usar cuentas de prueba dedicadas en lugar de credenciales de usuarios reales
  • Documentar todos los hallazgos con evidencia de proof-of-concept

Evitar

  • Probar sistemas de producción sin autorización explícita
  • Usar credenciales reales comprometidas de filtraciones de datos reales
  • Intentar acceder a cuentas que pertenecen a otros usuarios

Preguntas frecuentes

¿Es seguro usar esta habilidad?
Sí, esta es una habilidad legítima de educación en seguridad. Requiere explícitamente autorización por escrito y está diseñada para profesionales de pruebas de seguridad autorizadas.
¿Qué herramientas usa esta habilidad?
La habilidad hace referencia a herramientas comunes de pruebas de seguridad como Burp Suite, Hydra y wordlists personalizadas. Estas son herramientas estándar usadas por probadores de penetración profesionales.
¿Necesito permisos especiales para usar esta habilidad?
Sí, debes tener autorización explícita por escrito del propietario del sistema antes de realizar pruebas. Este es un requisito legal para pruebas de seguridad legítimas.
¿Puede esta habilidad probar cualquier sitio web?
No. Solo debes probar sistemas que posees o tienes autorización explícita para probar. El acceso no autorizado es ilegal y poco ético.
¿Qué métodos de autenticación se pueden probar?
La habilidad cubre autenticación basada en contraseñas, autenticación basada en tokens (JWT, OAuth), gestión de sesiones, autenticación multifactor y flujos de restablecimiento de contraseña.
¿Cuánto tiempo toma una evaluación típica?
El tiempo de evaluación varía según la complejidad de la aplicación. Una revisión completa de autenticación típicamente toma 2-8 horas dependiendo del alcance y profundidad de las pruebas.

Detalles del desarrollador

Autor

sickn33

Licencia

MIT

Repositorio

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/broken-authentication

Ref.

main

Estructura de archivos

📄 SKILL.md