技能 html-injection-testing
🛡️
html-injection-testing
低风险 ⚡
包含脚本⚙️
外部命令🌐
网络访问
Prueba de vulnerabilidades de inyección HTML
Las aplicaciones web frecuentemente no logran sanitizar correctamente la entrada del usuario, permitiendo a los atacantes inyectar contenido HTML malicioso. Esta habilidad proporciona una metodología integral para identificar fallos de inyección HTML a través de pruebas de seguridad autorizadas.
支持: Claude Codex Code(CC)
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“html-injection-testing”。 Probar parámetro de búsqueda para inyección HTML
预期结果:
- Fase 1: Punto de identificado en /search?q= parámetro
- Fase 2: Resultados de prueba de payload básico: <h1>Test</h1> se renderiza como encabezado - VULNERABLE
- Fase 3: Inyección almacenada confirmada - el payload persiste después de recargar la página
- Recomendación: Implementar codificación de salida usando htmlspecialchars() o DOMPurify
正在使用“html-injection-testing”。 ¿Qué payloads de phishing pueden demostrar el riesgo de inyección HTML?
预期结果:
- Payload de demostración: Formulario superpuesto que captura credenciales
- Impacto: El atacante puede cosechar credenciales de usuario mediante formulario falso de inicio de sesión
- Severidad: Media a Alta dependiendo del valor de autenticación
- Remediación: Validación estricta de entrada y encabezados CSP
安全审计
低风险v1 • 2/25/2026
This is a legitimate educational security testing skill for authorized HTML injection vulnerability assessment. Static findings are false positives or expected content for security education. The skill teaches penetration testing methodologies for identifying and reporting HTML injection flaws in web applications. All examples are clearly educational and the skill includes proper remediation guidance.
1
已扫描文件
504
分析行数
7
发现项
1
审计总数
中风险问题 (2)
innerHTML Assignment Examples
The skill contains examples of vulnerable innerHTML usage at lines 429 and 433. These are part of the 'Prevention and Remediation' section showing what NOT to do - they are educational examples of vulnerable patterns, not actual vulnerabilities in the skill itself.
External Command Execution in Examples
The skill contains curl command examples for testing. These are standard security testing tools used for authorized vulnerability assessment. All examples target 'target.com' which is a placeholder domain, not real systems.
低风险问题 (2)
Hardcoded URLs in Examples
Examples contain URLs to 'attacker.com' and similar domains. These are standard educational placeholders used in security training. No actual malicious infrastructure is referenced.
Encoding and Obfuscation Techniques
The skill documents bypass techniques using various encoding methods (URL, HTML entities, Unicode). This is standard educational content for understanding filter evasion in security testing.
风险因素
⚡ 包含脚本 (2)
⚙️ 外部命令 (60)
SKILL.md:44-57 SKILL.md:57-74 SKILL.md:74-85 SKILL.md:85-88 SKILL.md:88-99 SKILL.md:99-105 SKILL.md:105-125 SKILL.md:125-128 SKILL.md:128-137 SKILL.md:137-145 SKILL.md:145-160 SKILL.md:160-166 SKILL.md:166-172 SKILL.md:172-178 SKILL.md:178-186 SKILL.md:186-192 SKILL.md:192-198 SKILL.md:198-204 SKILL.md:204-228 SKILL.md:228-231 SKILL.md:231-233 SKILL.md:233-239 SKILL.md:239-261 SKILL.md:261-267 SKILL.md:267-277 SKILL.md:277-281 SKILL.md:281-287 SKILL.md:287-291 SKILL.md:291-298 SKILL.md:298-302 SKILL.md:302-308 SKILL.md:308-314 SKILL.md:314-339 SKILL.md:339-345 SKILL.md:345-353 SKILL.md:353-357 SKILL.md:357-362 SKILL.md:362-366 SKILL.md:366-397 SKILL.md:397-403 SKILL.md:403-412 SKILL.md:412-414 SKILL.md:414-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-448 SKILL.md:448-449 SKILL.md:449-450 SKILL.md:450-451 SKILL.md:451-452 SKILL.md:452-453 SKILL.md:453-459 SKILL.md:459-469 SKILL.md:469 SKILL.md:469-470 SKILL.md:470 SKILL.md:470-471 SKILL.md:471 SKILL.md:471-472 SKILL.md:472
🌐 网络访问 (30)
SKILL.md:390 SKILL.md:119 SKILL.md:120 SKILL.md:123 SKILL.md:130 SKILL.md:133 SKILL.md:136 SKILL.md:150 SKILL.md:155 SKILL.md:168 SKILL.md:168 SKILL.md:171 SKILL.md:181 SKILL.md:185 SKILL.md:194 SKILL.md:197 SKILL.md:210 SKILL.md:221 SKILL.md:223 SKILL.md:232 SKILL.md:254 SKILL.md:270 SKILL.md:276 SKILL.md:283 SKILL.md:293 SKILL.md:304 SKILL.md:307 SKILL.md:371 SKILL.md:379 SKILL.md:382
检测到的模式
False Positive: Windows SAM Database DetectionEducational Code Examples
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
76
安全
96
规范符合性
你能构建什么
Consultor de seguridad evaluando aplicaciones web de clientes
Un probador de penetración que realiza una evaluación de seguridad autorizada para un cliente necesita identificar vulnerabilidades de inyección HTML en sus aplicaciones web y proporcionar un informe completo con pasos de remediación.
Desarrollador aprendiendo seguridad web
Un desarrollador web quiere entender las vulnerabilidades de inyección HTML para escribir código más seguro y validar correctamente la entrada del usuario en sus aplicaciones.
Ingeniero QA probando manejo de entrada
Un ingeniero de QA necesita verificar que el manejo de entrada de la aplicación sanitice correctamente el contenido HTML y prevenga ataques de inyección.
试试这些提示
Prueba básica de inyección HTML
Usa la habilidad de html-injection-testing para ayudarme a probar si la función de búsqueda de nuestra aplicación es vulnerable a inyección HTML. El parámetro de búsqueda es 'q' y la URL es http://example.com/search
Evaluación de inyección almacenada
Ayúdame a probar inyección HTML almacenada en el campo de biografía del perfil de usuario usando la habilidad html-injection-testing. ¿Qué payloads de prueba debo usar y cómo verifico si la inyección está almacenada?
Prueba de evasión de filtros
Nuestra aplicación dice filtrar etiquetas HTML. Usando la habilidad html-injection-testing, ¿qué técnicas de codificación y evasión debo probar para verificar si el filtro puede ser evadido?
Verificación de remediación
Después de implementar la sanitización de entrada, ¿cómo puedo usar la habilidad html-injection-testing para verificar que la remediación es efectiva y no quedan vectores de inyección HTML?
最佳实践
- Siempre obtener autorización por escrito antes de probar cualquier aplicación web
- Documentar todos los hallazgos con capturas de pantalla de prueba de concepto y pares de solicitud/respuesta
- Probar tanto parámetros GET como POST, incluyendo campos ocultos y cookies
- Incluir guía de remediación en su informe para ayudar a los desarrolladores a corregir problemas
避免
- Probar sistemas de producción sin autorización explícita
- Usar vulnerabilidades descubiertas para acceder o filtrar datos
- Enfocarse solo en herramientas automatizadas sin verificación manual
- Reportar hallazgos sin proporcionar pasos claros de reproducción
常见问题
¿Cuál es la diferencia entre inyección HTML y XSS?
La inyección HTML permite a los atacantes inyectar contenido HTML malicioso en páginas web, afectando solo la apariencia de la página. XSS (Cross-Site Scripting) permite la ejecución de código JavaScript, lo cual es más severo ya que puede robar cookies, tokens de sesión o realizar acciones en nombre del usuario.
¿Puede la inyección HTML comprometer cuentas?
Sí, a través de ataques de phishing. Los atacantes pueden inyectar formularios falsos de inicio de sesión que parecen legítimos y capturar credenciales de usuario cuando se envían.
¿Qué herramientas se recomiendan para pruebas de inyección HTML?
Burp Suite, OWASP ZAP y pruebas manuales con curl son las herramientas principales. Los escáneres automatizados pueden encontrar puntos de inyección básicos pero se necesitan pruebas manuales para escenarios complejos.
¿Cómo prevengo la inyección HTML en mi aplicación web?
Use codificación de salida (htmlspecialchars en PHP, escape en Python), implemente encabezados de Política de Seguridad de Contenido, valide la entrada contra listas de permitidos, y use frameworks modernos que auto-escapen por defecto.
¿Se considera ético probar en localhost?
Probar en sus propios sistemas o sistemas que usted posee generalmente es aceptable. Siempre asegúrese de tener autorización por escrito explícita para cualquier sistema que no sea de su propiedad.
¿Cuál es la severidad típica de la inyección HTML?
La inyección HTML típicamente tiene severidad media ya que no puede ejecutar JavaScript directamente. Sin embargo, cuando se combina con phishing o desfiguración, el impacto puede ser alto, especialmente en sitios con autenticación de usuarios.