Habilidades Broken Authentication Testing
🔐

Broken Authentication Testing

Seguro ⚙️ Comandos externos🌐 Acceso a red

Prueba de Seguridad de Autenticación

Identifica vulnerabilidades de autenticación y gestión de sesiones rotas en aplicaciones web utilizando técnicas integrales de pruebas de penetración.

Soporta: Claude Codex Code(CC)
🥉 72 Bronce
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "Broken Authentication Testing". Probar autenticación en https://testapp.example.com para vulnerabilidades de autenticación rota

Resultado esperado:

  • Evaluación de Autenticación Completa
  • Hallazgos:
  • - Política de contraseña débil (mínimo 4 caracteres)
  • - No se detectó mecanismo de bloqueo de cuentas
  • - Tokens de sesión sin flag Secure
  • - Enumeración de usuarios vía restablecimiento de contraseña
  • Recomendaciones:
  • - Aplicar contraseñas de 12+ caracteres con complejidad
  • - Implementar bloqueo de cuentas después de 5 intentos fallidos
  • - Agregar flags Secure y HttpOnly a cookies de sesión
  • - Usar mensajes de error genéricos

Usando "Broken Authentication Testing". Analizar seguridad de tokens de sesión para entropía y predecibilidad

Resultado esperado:

  • Análisis de Token de Sesión:
  • - Longitud del token: 16 caracteres (insuficiente)
  • - Patrón detectado: incrementos secuenciales
  • - Entropía: 32 bits (por debajo de la recomendación de 128 bits)
  • - Contiene componente de timestamp: SÍ
  • Riesgo: ALTO - Los tokens son predecibles y no deberían usarse

Usando "Broken Authentication Testing". Probar funcionalidad de restablecimiento de contraseña para debilidades de seguridad

Resultado esperado:

  • Evaluación de Restablecimiento de Contraseña:
  • - Longitud del token: 8 caracteres (débil)
  • - Expiración del token: 24 horas (aceptable)
  • - Aplicación de un solo uso: VERIFICADO
  • - Vinculación de cuenta: NO APLICADA (vulnerable)
  • - Inyección de Host header: NO VULNERABLE
  • Vulnerabilidad: El token puede reutilizarse entre cuentas

Auditoría de seguridad

Seguro
v1 • 2/25/2026

This is a legitimate penetration testing and security assessment skill. All 76 static findings are false positives: the detected 'external_commands' and 'network' patterns are documentation code examples showing legitimate security testing techniques (hydra commands, HTTP request examples, JWT attack demonstrations). The skill properly includes legal requirements for authorization and scope limitations. No actual executable malware or exploit code is present.

1
Archivos escaneados
477
Líneas analizadas
2
hallazgos
1
Auditorías totales

Factores de riesgo

⚙️ Comandos externos (40)
SKILL.md:47-60 SKILL.md:60-64 SKILL.md:64-70 SKILL.md:70-76 SKILL.md:76-81 SKILL.md:81-89 SKILL.md:89-93 SKILL.md:93-102 SKILL.md:102-108 SKILL.md:108-121 SKILL.md:121-125 SKILL.md:125-139 SKILL.md:139-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-175 SKILL.md:175-179 SKILL.md:179-195 SKILL.md:195-201 SKILL.md:201-214 SKILL.md:214-218 SKILL.md:218-225 SKILL.md:225-231 SKILL.md:231-247 SKILL.md:247-253 SKILL.md:253-277 SKILL.md:277-281 SKILL.md:281-289 SKILL.md:289-295 SKILL.md:295-314 SKILL.md:314-333 SKILL.md:333-355 SKILL.md:355-370 SKILL.md:370-377 SKILL.md:377-405 SKILL.md:405-424 SKILL.md:424-430 SKILL.md:430-445 SKILL.md:445-451 SKILL.md:451-467
🌐 Acceso a red (13)
SKILL.md:187 SKILL.md:222 SKILL.md:306 SKILL.md:457 SKILL.md:465 SKILL.md:371 SKILL.md:372 SKILL.md:373 SKILL.md:374 SKILL.md:375 SKILL.md:376 SKILL.md:413 SKILL.md:417
Auditado por: claude

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
87
Contenido
50
Comunidad
100
Seguridad
74
Cumplimiento de la especificación

Lo que puedes crear

Evaluación de Seguridad para Aplicaciones Web

Realizar auditorías integrales de seguridad de autenticación para aplicaciones web durante el desarrollo o producción

Detección de Vulnerabilidades Pre-Despliegue

Identificar debilidades de autenticación antes de lanzar aplicaciones a entornos de producción

Capacitación en Seguridad de Autenticación

Aprender metodologías de pruebas de autenticación y técnicas de identificación de vulnerabilidades

Prueba estos prompts

Prueba de Autenticación Básica 
Usa la habilidad de Prueba de Autenticación Rota para evaluar la seguridad de autenticación de https://example.com. Comienza mapeando los endpoints de autenticación e identificando el tipo de autenticación utilizado.
Auditoría de Gestión de Sesiones 
Realiza una prueba de seguridad de gestión de sesiones en la aplicación objetivo. Analiza la entropía de tokens de sesión, verifica vulnerabilidades de fijación de sesión y comprueba las políticas de tiempo de espera de sesión.
Evaluación de Credential Stuffing 
Realiza una prueba de credential stuffing usando la lista de cuentas de prueba proporcionada. Evalúa las defensas de la aplicación contra ataques automatizados de credenciales y documenta cualquier toma de control exitosa.
Evaluación de Evasión de MFA 
Prueba la implementación de autenticación multifactor para vulnerabilidades de evasión. Evalúa la protección de fuerza bruta OTP, la seguridad de inscripción y el manejo de códigos de respaldo.

Mejores prácticas

  • Siempre obtener autorización escrita antes de probar cualquier aplicación objetivo
  • Documentar todas las actividades de prueba y hallazgos para cumplimiento e informes
  • Usar cuentas de prueba aisladas para evitar impactar datos de producción

Evitar

  • Probar sistemas de producción sin autorización explícita
  • Usar bases de datos reales de credenciales filtradas durante las pruebas
  • Explotar vulnerabilidades más allá del alcance de la evaluación

Preguntas frecuentes

¿Qué autorización se requiere para usar esta habilidad?
Esta habilidad requiere autorización escrita explícita del propietario del sistema objetivo. Probar sin autorización es ilegal y no ético.
¿Puede esta habilidad probar cualquier aplicación web?
Solo aplicaciones donde tengas cuentas de prueba y autorización explícita. La habilidad incluye restricciones legales que deben seguirse.
¿Qué herramientas usa esta habilidad?
La habilidad proporciona metodología y ejemplos usando herramientas comunes como Burp Suite, Hydra y scripts de Python personalizados para pruebas.
¿Esta habilidad realiza ataques reales?
No. Esta habilidad proporciona guía y metodología para pruebas de seguridad autorizadas. Documenta técnicas de prueba sin ejecutarlas.
¿Qué vulnerabilidades de autenticación pueden identificarse?
La habilidad cubre debilidades de políticas de contraseña, fallas de gestión de sesiones, credential stuffing, evasión de MFA, enumeración de usuarios y vulnerabilidades de restablecimiento de contraseña.
¿Esta habilidad es adecuada para probadores de seguridad principiantes?
Sí. La habilidad incluye documentación integral desde conceptos básicos hasta técnicas avanzadas con ejemplos prácticos.

Detalles del desarrollador

Autor

sickn33

Licencia

MIT

Repositorio

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/broken-authentication

Ref.

main

Estructura de archivos

📄 SKILL.md